PancakeHunny 攻擊事件分析-ODAILY_PAN

前言

北京時間10月20日晚，知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議PancakeHunny的WBNB/TUSD池遭遇閃電貸攻擊，HUNNY代幣價格閃崩。實驗室第一時間跟蹤本次事件并分析。

分析

BNB Chain 上DEX PancakeSwap 開啟MasterChef v2遷移:金色財經消息，BNB Chain上去中心化交易平臺Pancake Swap開啟MasterChefv2遷移，正在Farm和Cake糖漿池的質押用戶需要完成分批遷移。[2022/4/20 14:36:40]

攻擊者信息

攻擊者：

0x731821D13414487ea46f1b485cFB267019917689

攻擊合約：

0xa5312796DC20ADd51E41a4034bF1Ed481b708e71

Pantera Capital：以太坊價格被低估 現已增持以太坊:1月17日消息，加密投資公司Pantera Capital在以太坊最近的投資者信中透露，該公司已增持以太坊。該投資公司認為，相對于比特幣而言，以太坊被低估了。根據Pantera Capital首席投資官喬Joey Krug指出，DeFi的增長持續對ETH的價格和基本價值產生積極影響，因為ETH是這個新金融體系的基礎貨幣抵押品。（AMBcrypto）[2021/1/17 16:21:08]

第一次攻擊tx：

0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77

B2C2 Japan CEO：CBDC將把數字貨幣引向更廣泛的應用:加密貨幣流動性提供商B2C2 Japan的首席執行官Phillip Gillespie發推特表示，CBDC可能會遇到反烏托邦的現象，但是從政府角度上說，發行CBDC有諸多好處。比如，政府發行數字貨幣賬戶讓現金分配更加簡單和有效。具有跟蹤能力，能夠評估瞬時的經濟影響。通過白名單能夠對于資金起到防御的作用。而且當CBDC在某個國家得到使用之后，能夠帶動比特幣和其他加密貨幣在全球范圍內的廣泛應用。[2020/10/26]

被攻擊池信息

VaultStrategyAlpacaRabbit：0x27d4cA4bB855e435959295ec273FA16FE8CaEa14

聲音 | Pantera Capital CEO：十年后將會有數十億人使用比特幣:據CCN報道，比特幣投資公司Pantera Capital首席執行官Dan Morehead近日表示，顛覆性的技術通常會獲得“殺手級別”的稱號，就比特幣而言，它是一個“連環殺手”。Morehead認為比特幣非常適合跨境的貨幣流動，非常適合存儲財富。比特幣將使銀行，信用卡和匯款公司過時。同時，阻礙比特幣采用的問題之一是從交易所獲得加密貨幣缺乏用戶友好性，但這些挑戰正逐漸被克服。Morehead認為十年后將會有數十億人使用比特幣。[2018/11/17]

VaultStrategyAlpacaRabbit：0xef43313e8218f25Fe63D5ae76D98182D7A4797CC

攻擊流程

攻擊者從CreamFinance通過閃電貸獲得53.25BTC

用53.25BTC從Venus借出2717107TUSD

在PancakeSwap上，用TUSD兌換BNB，抬高BNB價格

使用50個不同的錢包地址將38250TUSD存入HUNNYTUSDVault合約

贖回2842.16TUSD，并鑄造12020.40HUNNY代幣

以7.78WBNB的價格賣出HUNNY代幣

50個錢包重復26次以上步驟

細節

VaultStrategyAlpacaRabbit合約池的_harvest()函數中，資產的兌換路由為ALPACA=>WBNB=>TUSD，而WBNB/TUSD池中流動性較低，易被操縱。

在巨額兌換后，抬高了WBNB對TUSD的價格，攻擊者調用harvest()函數后，Vault合約的TUSD利潤劇增，隨后調用getReward()函數，通過30%的performanceFee手續費鑄造HUNNY代幣，只要鑄造出的HUNNY代幣價值超過30%的performanceFee手續費，就有利可圖。

目前，PancakeHunny官方已采取緊急措施，暫停了TUSDVault合約的鑄幣。

總結

此次PancakeHunny遭遇的閃電貸攻擊的本質原因在于底層資產兌換過程的價格易被操控，未做全面考慮和防護，從而使得攻擊者通過巨額資金操縱某一交易對價格進行攻擊套利。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：PANTUSDUSDBNBPANG價格TUSDB價格usdc幣市值減少BABYBNB

TUSD