PancakeHunny攻擊事件分析_PAN

前言

PREFACE

北京時間 10 月 20 日晚，知道創宇區塊鏈安全實驗室 監測到 BSC 鏈上的 DeFi 協議 PancakeHunny 的 WBNB/TUSD 池遭遇閃電貸攻擊，HUNNY 代幣價格閃崩。實驗室第一時間跟蹤本次事件并分析。

分析

ANALYZE

KyberSwap已在以太坊和BNB Chain上集成PancakeSwap v3:7月19日消息，Kyber Network發推稱，KyberSwap已在以太坊和BNB Chain上集成PancakeSwap v3，旨在實現更低的滑點和無縫交易。[2023/7/19 11:04:50]

攻擊者信息攻擊者：0x731821D13414487ea46f1b485cFB267019917689

攻擊合約：0xa5312796DC20ADd51E41a4034bF1Ed481b708e71

第一次攻擊tx：0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77

Dello與支付處理公司PandaPay合作推進智能加密支付:6月14日消息，總部位于加拿大的金融科技公司Dello與支付處理公司PandaPay合作，旨在讓用戶更容易地使用加密貨幣支付服務。

目前，Dello的加密支付應用程序已集成至PandaPay的智能終端上。現在，商家有了符合EMV的支付設備，能夠在同一交易流中接受所有主要的信用卡和借記卡，以及不同的加密貨幣支付。（The Paypers）[2022/6/14 4:26:09]

VaultStrategyAlpacaRabbit：0x27d4cA4bB855e435959295ec273FA16FE8CaEa14

Panther Protocol將于10月在Polygon推出其MVP:DeFi端到端隱私協議Panther Protocol昨日發推稱，Panther將在許多公共智能合約對等鏈（peerchain）中部署其隱私解決方案。實際上這將為所有DeFi實現可互操作的隱私。Panther Protocol MVP將于10月在Polygon推出，然后在以太坊L1推出。之后將很快在Flare和StackOS推出。[2021/8/8 1:41:58]

VaultStrategyAlpacaRabbit（proxy）：0xef43313e8218f25Fe63D5ae76D98182D7A4797CC

Pantera Capital前合伙人推出新基金，專注于區塊鏈投資機會:加密投資公司Pantera Capital的前合伙人Paul Brodsky已離職，并推出了一只專注于加密貨幣和傳統資產波動性的對沖基金。據知情人士透露，Brodsky的新基金PostModern Partners將于2021年開放，專注于高風險、高回報的區塊鏈投資機會。該消息人士稱，它將只對合格投資者開放，而且只對那些能夠承受可能出現的市場大幅下跌的投資者開放。

據悉，該基金是在Brodsky加入Pantera Capital三年后成立的。CoinDesk獲得的組織文件顯示，PostModern將交易各種高流動性資產類別，特別關注高增長、波動劇烈的加密貨幣。（CoinDesk）[2020/9/24]

攻擊者從 Cream Finance 通過閃電貸獲得 53.25 BTC

用 53.25 BTC 從 Venus 借出 2717107 TUSD

在 PancakeSwap 上，用 TUSD 兌換 BNB，抬高 BNB 價格

使用 50 個不同的錢包地址將 38250 TUSD 存入 HUNNY TUSD Vault 合約

贖回 2842.16 TUSD，并鑄造 12020.40 HUNNY 代幣

以7.78 WBNB 的價格賣出 HUNNY 代幣

50個錢包重復26次以上步驟

細節VaultStrategyAlpacaRabbit 合約池的_harvest()函數中，資產的兌換路由為 ALPACA => WBNB => TUSD，而 WBNB/TUSD 池中流動性較低，易被操縱。

在巨額兌換后，抬高了 WBNB 對 TUSD 的價格，攻擊者調用 harvest() 函數后，Vault 合約的 TUSD 利潤劇增，隨后調用 getReward() 函數，通過30%的 performanceFee 手續費鑄造 HUNNY 代幣，只要鑄造出的 HUNNY 代幣價值超過 30% 的 performanceFee 手續費，就有利可圖。

目前，PancakeHunny 官方已采取緊急措施，暫停了 TUSD Vault 合約的鑄幣。

總結

SUMMARIZE

此次 PancakeHunny 遭遇的閃電貸攻擊的本質原因在于底層資產兌換過程的價格易被操控，未做全面考慮和防護，從而使得攻擊者通過巨額資金操縱某一交易對價格進行攻擊套利。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

實驗室官網：www.knownseclab.com

Tags：PANUSDTUSDUNNPancakeLockCKUSDwstUSDTPEPERUNNER幣

Uniswap