前言
PREFACE
北京时间 10 月 20 日晚,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 PancakeHunny 的 WBNB/TUSD 池遭遇闪电贷攻击,HUNNY 代币价格闪崩。实验室第一时间跟踪本次事件并分析。
分析
ANALYZE
PancakeSwap与Binance Earn合作为WBETH提供流动性质押集成:4月29日消息,据官方公告,PancakeSwap已与Binance Earn合作为WBETH(Wrapped Beacon Ethereum)Token提供流动性质押集成。Pancake Swap用户可以将ETH直接兑换成WBETH,从而获得ETH质押奖励,以及使用WBETH在其他平台进行转账、交易和使用。Wrapped Beacon Ethereum(WBETH)是一种流动性质押衍生Token,代表质押的ETH及其奖励。它是BETH的封装版本,由Binance Earn创建,可在以太坊和BNB链上使用。[2023/4/29 14:34:33]
攻击者信息攻击者:0x731821D13414487ea46f1b485cFB267019917689
FTX Japan起草返还客户资金的计划:金色财经报道,FTX日本子公司FTX Japan制定了一份供客户提取资金的计划草案,这项尚未最终确定的提案的核心是利用一个名为Liquid的平台,从1月份开始促进资产的归还,具体过程包括数据获取、身份验证和数据传输、余额确认以及分配和提取。该计划还需得到日本监管机构的批准。(彭博社)[2022/12/1 21:14:02]
攻击合约:0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
第一次攻击tx:0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
动态 | Vega 完成 Pantera Capital 领投的 500 万美元种子轮融资:专注于去中心化衍生品交易市场的初创公司 Vega 宣布完成超过 500 万美元的种子轮融资,该轮融资由 Pantera Capital 领投,其他投资者包括 NGC Ventures 、Xpring、Hashed、gumi Cryptos Capital 等。[2019/10/3]
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
VaultStrategyAlpacaRabbit(proxy):0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
声音 | Pantera Capital CIO:比特币作为货币不会成功:据ccn消息,加密货币基金Pantera Capital的首席信息官(CIO)Joey Krug发文声称,比特币作为货币不会成功。他指出,现金和支付并不是区块链技术促成范式转变的主要领域。尽管比特币可能成为数字黄金,但鉴于其波动性,它不可能作为货币获得成功。此外,比特币内部不存在动态的货币政策,严重影响了其波动性。[2019/1/15]
攻击者从 Cream Finance 通过闪电贷获得 53.25 BTC
用 53.25 BTC 从 Venus 借出 2717107 TUSD
在 PancakeSwap 上,用 TUSD 兑换 BNB,抬高 BNB 价格
使用 50 个不同的钱包地址将 38250 TUSD 存入 HUNNY TUSD Vault 合约
赎回 2842.16 TUSD,并铸造 12020.40 HUNNY 代币
以7.78 WBNB 的价格卖出 HUNNY 代币
50个钱包重复26次以上步骤
细节VaultStrategyAlpacaRabbit 合约池的_harvest()函数中,资产的兑换路由为 ALPACA => WBNB => TUSD,而 WBNB/TUSD 池中流动性较低,易被操纵。
在巨额兑换后,抬高了 WBNB 对 TUSD 的价格,攻击者调用 harvest() 函数后,Vault 合约的 TUSD 利润剧增,随后调用 getReward() 函数,通过30%的 performanceFee 手续费铸造 HUNNY 代币,只要铸造出的 HUNNY 代币价值超过 30% 的 performanceFee 手续费,就有利可图。
目前,PancakeHunny 官方已采取紧急措施,暂停了 TUSD Vault 合约的铸币。
总结
SUMMARIZE
此次 PancakeHunny 遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控,未做全面考虑和防护,从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
实验室官网:www.knownseclab.com
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。