一、事件概览
北京时间6月3日11时11分,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH(合计10余万美元)。
面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩 。
瑞典的比特币ETF卖家提示避免普通消费者的购买。:市场消息:瑞典的比特币ETF卖家提示避免普通消费者的购买。(金十)[2021/2/22 17:40:30]
据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。
二、事件分析
成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:
李礼辉:数字货币可去现钞、去中介,但国内区块链还处在规模化可靠应用瓶颈:中国互联网金融业协会区块链研究组组长、中国银行原行长李礼辉10月18日在媒体活动中表示,数字货币对经济生活的影响其中一个就是去现钞,让日常生活更加简单,实际上也会加快人民币的国际化进程;二是去中介,会让金融竞争更充分。目前法定数字货币是因为政府的背书而可信,如果其他机构发行的数字货币,李礼辉认为,要做到五个方面的要素才有可能被信任:1、具有公众信任机构的信任背书;2、具有商业价值的客户规模;3、具有可靠的机关交易合支付平台;4、具有可审计的金融资产做支撑;5、具有行政许可的市场准入。虽然区块链技术已上升至国家战略层面,但李礼辉认为目前区块链发展还处在一个瓶颈状态,即规模化可靠应用的瓶颈。他表示,这几年中国在区块链专利的申请方面已经做得很好,甚至超过了美国,但在底层这些所有高价值的基础领域,我国还存在很大的差距。(华夏时报)[2020/10/18]
比特币实际资本超过2017年最高纪录:加密市场数据分析公司Glassode发布的数据显示,自2017年底比特币达到2万美元的历史最高点以来,比特币实现的资本化增长了50%以上。比特币的实际上限目前为1,150亿美元,比2017年的历史最高水平高出430亿美元。比特币目前价值1,900亿美元的市值表明,比特币长期交易投资者的总利润为65%。[2020/9/24]
需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例(当时为1 BNB:3200 HunnyToken),这给了黑客发动攻击的可乘之机。
黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。
此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。
三、事件复盘
不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。
同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。