事件概览
北京时间6月3日11时11分,链必安-区块链安全态势感知平台舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH。
面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩。
据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。
动态 | 人民网:区块链电子发票可实现发票轻量级防伪、降低用票成本:9月4日,人民网发布文章《从手写发票到区块链电子发票:降低用票成本,确保真实完整》。文章指出,2018年12月7日,在省、市、区税务局各级领导的共同见证下,广州市黄埔区(广州开发区)在“税链”区块电子发票平台上成功开出了首张电子发票,实现在区块链上开具通用类电子发票,并与支付宝、报销软件钉钉合作,打通“支付—开具—报销—入账”的全流程,实现支付后秒级开票、分钟级报销打款入账。电子发票链上开具拥有全流程加密、不可篡改、可追溯性的技术特性,与发票的业务逻辑高度吻合。区块链电子发票可实现发票轻量级防伪、降低用票成本的同时,又确保了发票数据的真实性、完整性和永久性,数据高度安全。[2019/9/4]
动态 | 人民网刊文:区块链发展渐趋理性:人民网近日刊文《2018中国互联网发展十大动向》。文章提到,从3月份央行整顿清理各类虚拟货币到8月26日银保监会等五部委联合发布《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》,倡导公众理性看待区块链;8月全国首张区块链电子发票在深圳落地、9月区块链被最高人民法院认证为电子数据认证的有效手段、10月北京市局开始利用区块链对临时车辆号牌进行管理;10月19日,国家互联网信息办公室制定了《区块链信息服务管理规定(征求意见稿)》,详细规定了区块链信息服务的使用范围、提供者与使用者的行为准则,以及有关部门的监管规定与处罚措施。区块链发展走上更加理性、正向的轨道。[2018/12/29]
事件分析
声音 | 人民网总裁叶蓁蓁:区块链行业没有改变:据火星财经报道,人民网总裁叶蓁蓁在今日举办的人民网区块链技术秋季论坛上针对区块链行业提前过冬的悲观论调表示:区块链行业可以概括为“四个没有改变”。第一,区块链作为新一代技术的定位没有改变,也是总书记说过的话。第二,区块链技术仍处于技术早期阶段,有待持续完善的状态没有改变。第三,区块链具有广泛应用前景的逻辑没有改变。第四,中央和各级主管部门积极推动区块链发展的态度没有改变。[2018/10/23]
成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:
需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例,这给了黑客发动攻击的可乘之机。
黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。
此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。
事件复盘
不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。
同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。