慢霧簡析 PancakeBunny 被黑：由 WBNB-BUNNY LP 價格計算存在缺陷所致_UNN

慢霧團隊稱，這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。

撰文：慢霧

今日6點35分左右開始，幣安智能鏈上DeFi收益聚合器PancakeBunny從240美元閃崩，一度跌破2美元，最高跌幅一度超99%。

對此PancakeBunny回應稱，遭到來自外部人員的閃電貸攻擊，共損失114,631枚BNB和697,245枚BUNNY，按當時價格計算約合4200萬美元。

GoPlus與慢霧提出合約可限時授權EIP提案，以降低遺留授權導致的被盜風險:10月6日消息，安全機構GoPlus與慢霧提出可限時授權的EIP標準，以降低遺留授權導致的被盜風險。標準中提到，包括TransitSwap事件在內，反復發生的資產盜竊是由于用戶對合約的過度授權造成的，如果合約出錯，所有沒有召回授權的用戶都會受到攻擊。

GoPlus與慢霧提出的解決方案可以為ERC-20Token設置Approv，以在默認時間段內自動撤回授權，或者使用自定義的時間限制來召回授權并及時避免風險，并提交了一份新的EIP，目前正在由以太坊研究部門審查。[2022/10/6 18:41:11]

簡單來說，黑客使用PancakeSwap借入了大量BNB，之后繼續操縱USDT/BNB以及BUNNY/BNB價格，從而獲得大量BUNNY并進行拋售，導致BUNNY價格閃崩，最后黑客通過PancakeSwap換回BNB。

慢霧：iCloud 用戶的MetaMask錢包遭遇釣魚攻擊是由于自身的安全意識不足:據官方消息，慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析，首先用戶遭遇了釣魚攻擊，是由于自身的安全意識不足，泄露了iCloud賬號密碼，用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析，MetaMask iOS App 端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 來禁止應用程序被用戶和系統進行備份，從而避免備份的數據在其他設備上被恢復。

MetaMask iOS端代碼中沒有發現存在這類禁止錢包數據(如 KeyStore 文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據，當iCloud賬號密碼等權限信息被惡意攻擊者獲取，攻擊者可以從目標 iCloud 里恢復 MetaMask iOS App 錢包的相關數據。

慢霧安全團隊經過實測通過 iCloud 恢復數據后再打開 MetaMask 錢包，還需要輸入驗證錢包的密碼，如果密碼的復雜度較低就會存在被破解的可能。[2022/4/18 14:31:38]

慢霧安全團隊也對此次被黑事件進行了詳細分析，具體如下：

慢霧：BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息，10月30日攻擊BXH的黑客（BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79）在洗幣過程中，多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺，其中部分 ETH 代幣被兌換成 BTC。此外，黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈，目前，初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。[2021/11/3 6:28:49]

攻擊者先發起一筆交易，使用0.5個WBNB與約189個USDT在PancakeSwap中添加流動性并獲取對應的LP，隨后將LP抵押至PancakeBunny項目的VaultFlipToFlip合約中。

動態 | 慢霧區發布0day漏洞預警 可盜取交易所賬號:慢霧區0day漏洞預警：某第三方知名 JS 庫存在 XSS 0day 漏洞，可繞過 Cloudflare 等防御機制。該漏洞如果被惡意利用會導致數字貨幣交易所等平臺的用戶帳號權限被盜、惡意操作等資產損失。經過慢霧安全團隊確認該漏洞影響范圍非常之廣，漏洞利用過程簡單，威力十足。[2018/9/18]

在LP抵押完成后，攻擊者再次發起另一筆交易，在這筆交易中攻擊者先從PancakeSwap的多個流動性池子中閃電貸借出巨量的WBNB代幣，并從Fortube項目的閃電貸模塊借出一定數量的USDT代幣。隨后使用借來的全部USDT代幣與部分WBNB代幣在PancakeSwap的WBNB-USDT池子添加流動性，并把獲得的LP留在WBNB-USDT池子中。

慢霧 x IMEOS市場預警:警惕數字貨幣轉賬地址劫持攻擊，這個攻擊鏈從錢包地址的展示到復制到最終黏貼環節都可能存在。從我們歷史審計經驗及慢霧區情報反饋來看，這個攻擊在交易所或錢包轉賬過程，暗網勒索過程等都有相關真實案例發生。這個攻擊從地下黑客風向標來看，已經頗具產業鏈形態，特此預警：在轉賬確認之前一定要再三確認目標錢包地址是否正確（不要僅看首尾字符串，需要嚴格一一驗證）。[2018/4/12]

由于在步驟1攻擊者已經在VaultFlipToFlip合約中進行了抵押，因此攻擊者在添加完流動性后直接調用VaultFlipToFlip合約的getReward函數來獲取BUNNY代幣獎勵并取回先前抵押的流動性。

在進行getReward操作時，其會調用BunnyMinterV2合約的mintForV2函數來為調用者鑄造BUNNY代幣獎勵。

在mintForV2操作中，其會先將一定量(performanceFee)的LP轉至WBNB-USDT池子中移除流動性，但由于在步驟2中攻擊者把大量的LP留在了池子中，因此BunnyMinterV2合約將會收到大量的WBNB代幣與USDT代幣。

在完成移除流動性后會調用zapBSC合約的zapInToken函數分別把步驟5中收到的WBNB與USDT代幣轉入zapBSC合約中。

而在zapInToken操作中，其會在PancakeSwap的WBNB-USDT池子中把轉入的USDT兌換成WBNB。隨后再將合約中半數WBNB在PancakeSwap的WBNB-BUNNY池子中兌換成BUNNY代幣，并將得到的BUNNY代幣與剩余的WBNB代幣在WBNB-BUNNY池子中添加流動性獲得LP，并將此LP轉至mintForV2合約中。而由于步驟5中接收到的非預期的大量的WBNB，并且進行WBNB兌換成BUNNY代幣的操作，因此WBNB-BUNNY池子中的WBNB數量會大量增加。

在完成zapInToken操作后會計算BunnyMinterV2合約當前收到的WBNB-BUNNYLP數量，并將其返回給mintForV2。隨后將會調用PriceCalculatorBSCV1合約的valueOfAsset函數來計算這些LP的價值，這里計算價值將會以BNB結算(即單個LP價值多少個BNB)。

在valueOfAsset計算中，其使用了WBNB-BUNNY池子中WBNB實時的數量乘2再除以WBNB-BUNNYLP總數量來計算單個LP的價值(valueInBNB)。但經過步驟7，我們可以發現WBNB-BUNNY池子中的WBNB非預期的數量大量變多了，這就導致了在計算單個LP的價值會使得其相對BNB的價格變得非常高。

隨后在mintForV2中，合約會以在步驟9中計算出的LP價值來通過amountBunnyToMint函數計算需要給攻擊者鑄造多少BUNNY代幣。但由于價格計算方式的缺陷導致最終LP的價格被攻擊者惡意的操控抬高了，這就導致了BunnyMinterV2合約最終給攻擊者鑄造了大量的BUNNY代幣(約697萬枚)。

在拿到BUNNY代幣后，攻擊者將其分批賣出成WBNB與USDT以歸還閃電貸。完成整個攻擊后拿錢走人。

慢霧團隊稱，這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議，在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/9993195.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

Bitfinex一周簡報

Tags：UNNBUNNYBUNBNBPOLYBUNNYBUNNYINUBUND幣白嫖steamtogetherbnb

火幣交易所