BSC鏈上項目再遭黑客攻擊，「黑色5月」陰云持續？_UNN

一、事件概覽

北京時間6月3日11時11分，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計，此次攻擊事件中，黑客總共獲利43ETH。

面對又一起發生在BSC鏈上的項目被黑事件，成都鏈安·安全團隊針對PancakeHunny被黑事件進行跟蹤分析，以提醒BSC鏈上各大項目切實提高安全防范意識，警惕“黑色5月”陰云的持續籠罩?。

數據：5月份以來，BSC生態項目已因“黑客”攻擊事件損失超1.57億美元:數據統計，BSC生態項目近日連續遭到閃電貸攻擊等“黑客”事件，總共損失已超1.57億美金，包括：5月28日，DEX項目JulSwap損失數額暫時不詳；5月28日，DEX項目 Burgerswap損失330萬美元；5月26日，機槍池項目merlinlab 損失680萬美元；5月24日，機槍池項目AutoShark 損失75萬美元；5月23日，指數項目DeFi100 損失3200萬美元；5月20日，機槍池項目PancakeBunny 損失4500萬美元；5月16日，機槍池項目BearnFi 損失1800萬美元；5月7日，機槍池項目Value DeFi 損失1100萬美元；5月5日，機槍池項目Value DeFi損失1000萬美元；5月2日，合成資產協議SPartan Protocol 損失3050萬美元。5月份以來，BSC生態項目損失資金超過1.57億美金。[2021/5/28 22:52:10]

據了解，PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中，黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似，均是在短時間內增發大量的代幣并拋向市場，并引起了HunnyToken幣價暴跌。

數據：昨日以太坊和BSC上借貸協議總清算量超1.19億美元，居歷史第三:據DeBank數據顯示，昨日以太坊及幣安智能鏈（BSC）上總清算量超1.19億美元，為歷史第三高，單日清算量歷史最高紀錄發生在5月19日（5.7億美元），其次為2020年11月26日（9348萬美元）。另外，昨日Coumpound清算量為5812.17萬美元，占比達到48.71%，其次為AaveV2（4403.65萬美元，36.91%）、Venus（776.82萬美元，6.51%）、AaveV1（549.14萬美元，4.60%）。[2021/5/24 22:37:02]

二、事件分析

Beer將正式上線幣安生態鏈BSC:據官方消息，Beer將于加拿大時間：2021年4月26日08：00（UTC+12）正式接入跨鏈橋，并于加拿大2021年4月28日正式上線幣安生態鏈BSC，增加MDX流動性，共同開啟Beer/ Xch LP挖礦。

在此之前，Beer通過官方平臺進行了三輪IDO，首輪IDO僅17分鐘完成。

Beer聚合交易平臺通過核心算法協議模塊的整合打通生態內外部 DEFI 協議，集成 DEX、跨鏈借貸 & 聚合挖礦、預言機、NFT 等，并引入去中心化多來源數據檢驗預言機方案，實現以更低的成本數據傳輸及套利策略部署，以解決目前不同 DeFi 類產品難以交互的痛點，從而達到對于 DeFi 全生態套利機會的高效整合。[2021/4/26 20:59:18]

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析，根據已披露的線索和攻擊交易上來看，黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊，如下圖所示：

需要注意的是，mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶；但在讀取需要轉換的手續費時，錯誤地使用了balanceOf做為參數，且在兌換HunnyToken時，使用的是固定兌換比例，這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣；再同時調用CakeFilpValut合約中的getReward函數，間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake，導致能夠兌換大量的HunnyToken；而此時的HunnyToken的價格，已經超過設定的固定值，這使得此處存在套利空間。后續黑客一直使用相同方法進行套利，直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出，此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看，黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此，成都鏈安提醒各大FORK項目尤其需要注重安全風險，加強安全防范工作，切勿懈怠。

同時，針對項目本身的開發和創新，我們建議開發者需要對原生項目進行深入理解，切勿一味地照搬和模仿；特別是在安全建設方面，在同步原生項目的安全防護策略之外，也需要聯動第三方安全公司的力量，建立一套獨立自主的安全風控體系，以應對各類突發的安全風險。

Tags：UNNBSCCAKEANCPEPERUNNER價格BBSCCAKESWAPDANCE幣

中幣下載