代幣閃崩，差點歸零 - PancakeBunny 被黑簡析_BNB

By：Kong@慢霧安全團隊

據慢霧區情報，幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

攻擊過程分析

1.攻擊者先發起一筆交易，使用0.5個WBNB與約189個USDT在PancakeSwap中添加流動性并獲取對應的LP，隨后將LP抵押至PancakeBunny項目的VaultFlipToFlip合約中。

Connext和Alchemix推出跨鏈代幣標準以減少黑客攻擊損失:金色財經報道，Connext 跨鏈橋接協議宣布聯合Alchemix推出了新的代幣標準，以減少跨鏈橋黑客攻擊造成的損失。根據公告，新的“xERC-20”標準允許代幣發行者維護官方橋接列表，并控制每個橋可以鑄造的代幣數量。公告稱，除了Connext之外，DeFi平臺Alchemix Finance將部署xERC-20代幣標準。

Connext 在公告中表示，新的標準將防止安全性較差或過度中心化的橋梁受到攻擊，因為代幣發行者現在可以靈活地隨著時間的推移詳細更新他們對支持橋的偏好。跨鏈橋不再優先考慮建立流動性壟斷，或試圖通過鎖定代幣發行者（或在某些情況下整個鏈）來壟斷市場份額，而是被迫持續關注其安全性和服務質量，以免被摘牌。[2023/7/25 15:56:32]

2.在LP抵押完成后，攻擊者再次發起另一筆交易，在這筆交易中攻擊者先從PancakeSwap的多個流動性池子中閃電貸借出巨量的WBNB代幣，并從Fortube項目的閃電貸模塊借出一定數量的USDT代幣。隨后使用借來的全部USDT代幣與部分WBNB代幣在PancakeSwap的WBNB-USDT池子添加流動性，并把獲得的LP留在WBNB-USDT池子中。

Flare Network公布Spark代幣分配方案，總量1000億枚Spark:據官方消息，Flare Network公布Spark代幣分配方案，總量1000億枚Spark。單個XRP持有人預期總共收到的Spark數量可按公式計算。可claim Spark=擁有的XRP /（XRP總量-Ripple的XRP-交易所XRP）X 450億。除了Ripple相關帳戶中持有的XRP、不參加的交易所中XRP，Ripple聯合創始人Jed McCaleb以及已知因欺詐，盜竊和詐騙而收到XRP的帳戶也排除在外。

此外，任何已知屬于同一個人的XRP帳戶組均設置了10億XRP上限，超過此上限本來應得的Spark將放入鑄造FXRP的激勵池。從本貼發布到12月12日，超過上限的XRP即便轉入其它賬戶，轉入的XRP應得Sprak執行同樣操作。

在網絡啟動時，在網絡啟動時，每個claimed Spark的帳戶將獲得他們符合條件的Spark總數的15%，余下將在25到34個月分配。[2020/11/24 21:58:58]

3.由于在步驟1攻擊者已經在VaultFlipToFlip合約中進行了抵押，因此攻擊者在添加完流動性后直接調用VaultFlipToFlip合約的getReward函數來獲取BUNNY代幣獎勵并取回先前抵押的流動性。

動態 | Kraken將為用戶提供該公司的代幣化股票:據cryptoslate報道，加密貨幣交易所Kraken通過電子郵件聯系客戶，表示將為他們提供Kraken公司的代幣化股票，將通過一家名為“Bnk to the Future”的受監管投資公司進行銷售。根據電子郵件，該投資機會將在6月20日之前開放，最低投資額為1000美元。Kraken計劃為其0.255％的股權籌集最高1020萬美元。[2019/5/22]

4.在進行getReward操作時，其會調用BunnyMinterV2合約的mintForV2函數來為調用者鑄造BUNNY代幣獎勵。

5.在mintForV2操作中，其會先將一定量(performanceFee)的LP轉至WBNB-USDT池子中移除流動性，但由于在步驟2中攻擊者把大量的LP留在了池子中，因此BunnyMinterV2合約將會收到大量的WBNB代幣與USDT代幣。

ENT娛樂鏈將發布明星代幣T-ara幣:今日，ENT娛樂鏈聯合新湃資本和水木清華基金舉辦了“ENT娛樂鏈世界級智能內容區塊鏈方案發布會”，并在會上公布了其明星代幣T-ara幣將于4月開始內測，用于明星全方位支付場景。ENT強調，T-ara幣總量為1億枚，不做私募不增發，僅做免費發放。其中60%由藝人及公司持有，40%分階段作為粉絲福利按照不同的規則與渠道進行發放，分為粉絲共享福利、社區任務建設福利、Bonus獎勵福利等。而據ENT娛樂鏈首席內容官Luffy透露，ENT娛樂鏈即將公布國際重量級的藝人合作計劃。[2018/3/15]

6.在完成移除流動性后會調用zapBSC合約的zapInToken函數分別把步驟5中收到的WBNB與USDT代幣轉入zapBSC合約中。

7.而在zapInToken操作中，其會在PancakeSwap的WBNB-USDT池子中把轉入的USDT兌換成WBNB。隨后再將合約中半數WBNB在PancakeSwap的WBNB-BUNNY池子中兌換成BUNNY代幣，并將得到的BUNNY代幣與剩余的WBNB代幣在WBNB-BUNNY池子中添加流動性獲得LP，并將此LP轉至mintForV2合約中。而由于步驟5中接收到的非預期的大量的WBNB，并且進行WBNB兌換成BUNNY代幣的操作，因此WBNB-BUNNY池子中的WBNB數量會大量增加。

8.在完成zapInToken操作后會計算BunnyMinterV2合約當前收到的WBNB-BUNNYLP數量，并將其返回給mintForV2。隨后將會調用PriceCalculatorBSCV1合約的valueOfAsset函數來計算這些LP的價值，這里計算價值將會以BNB結算(即單個LP價值多少個BNB)。

9.在valueOfAsset計算中，其使用了WBNB-BUNNY池子中WBNB實時的數量乘2再除以WBNB-BUNNYLP總數量來計算單個LP的價值(valueInBNB)。但經過步驟7，我們可以發現WBNB-BUNNY池子中的WBNB非預期的數量大量變多了，這就導致了在計算單個LP的價值會使得其相對BNB的價格變得非常高。

10.隨后在mintForV2中，合約會以在步驟9中計算出的LP價值來通過amountBunnyToMint函數計算需要給攻擊者鑄造多少BUNNY代幣。但由于價格計算方式的缺陷導致最終LP的價格被攻擊者惡意的操控抬高了，這就導致了BunnyMinterV2合約最終給攻擊者鑄造了大量的BUNNY代幣(約697萬枚)。

11.在拿到BUNNY代幣后，攻擊者將其分批賣出成WBNB與USDT以歸還閃電貸。完成整個攻擊后拿錢走人。

總結

這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。

慢霧安全團隊建議，在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊研究的LP價格計算方式，以避免被惡意操控的事故再次發生。

Tags：BNBBUNBUNNYUNNSHIBABNB價格POLYBUNNYbunny幣2023年5月價格回顧sunny幣價格

中幣交易所