前言
PREFACE
北京时间 10 月 20 日晚,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 PancakeHunny 的 WBNB/TUSD 池遭遇闪电贷攻击,HUNNY 代币价格闪崩。实验室第一时间跟踪本次事件并分析。
分析
ANALYZE
Bitpanda最近发生了价值超过7300万美元的重大内部资产转移:金色财经报道,加密货币交易所Bitpanda最近发生了价值超过7300万美元的重大内部资产转移。这些资产包括 SHIB、LINK、CHZ 和 ETH 等流行的加密货币。转账至地址:0x2E…9103。然而,该交易所已向用户保证他们的资产是安全的,并且这是一次内部转账。[2023/8/11 16:19:53]
攻击者信息攻击者:0x731821D13414487ea46f1b485cFB267019917689
攻击合约:0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
PancakeSwap社区发起“新增CAKE分配以促进Polygon zkEVM流动性”的提案:7月25日消息,PancakeSwap社区发起新提案,提议新增CAKE分配以促进Polygon zkEVM流动性。该提案建议在Polygon zkEVM上部署新的farm,以提高流动性,并为LP提供收益。
此外,Kitchen不会增加释放来支持这些farm,而是会从“Multichain Warchest”分配中提取资金。目前投票已开启,将于7月26日16时结束。
此前7月4日消息,PancakeSwap宣布其V3版本已正式上线Polygon zkEVM主网。[2023/7/25 15:58:10]
第一次攻击tx:0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
匿名隐私公链MKECOIN正式上线PancakeSwap:据官方消息,匿名隐私公链MKECOIN于11月6日11:0 PM正式上线PancakeSwap。
2020年MKECoin完成主网上线,并启动挖矿测试, 2021年10月,新矿池协议完成升级并同步开源到github,2021底将推出移动端双离线钱包,2022年将实现与BTC/ETH的跨链闪兑。[2021/11/7 6:36:14]
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
Pantera Capital:2021年比特币市场份额或将下降:6月26消息,加密货币投资管理公司Pantera Capital在发送给投资者的区块链信函中表示,2021年比特币市场份额或将下降。
Pantera Capital解释称,自今年年初以来,山寨币的涨幅已超过比特币,到了2021年,山寨币将获得更大的市场份额。(EthereumWorldNews )[2020/6/26]
VaultStrategyAlpacaRabbit(proxy):0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻击者从 Cream Finance 通过闪电贷获得 53.25 BTC
用 53.25 BTC 从 Venus 借出 2717107 TUSD
在 PancakeSwap 上,用 TUSD 兑换 BNB,抬高 BNB 价格
使用 50 个不同的钱包地址将 38250 TUSD 存入 HUNNY TUSD Vault 合约
赎回 2842.16 TUSD,并铸造 12020.40 HUNNY 代币
以7.78 WBNB 的价格卖出 HUNNY 代币
50个钱包重复26次以上步骤
细节VaultStrategyAlpacaRabbit 合约池的_harvest()函数中,资产的兑换路由为 ALPACA => WBNB => TUSD,而 WBNB/TUSD 池中流动性较低,易被操纵。
在巨额兑换后,抬高了 WBNB 对 TUSD 的价格,攻击者调用 harvest() 函数后,Vault 合约的 TUSD 利润剧增,随后调用 getReward() 函数,通过30%的 performanceFee 手续费铸造 HUNNY 代币,只要铸造出的 HUNNY 代币价值超过 30% 的 performanceFee 手续费,就有利可图。
目前,PancakeHunny 官方已采取紧急措施,暂停了 TUSD Vault 合约的铸币。
总结
SUMMARIZE
此次 PancakeHunny 遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控,未做全面考虑和防护,从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
实验室官网:www.knownseclab.com
“Synthetix成DEX大额资产交易中间件,DEX大额交易开启新篇章。作为金融乐高积木,DeFi 的可组合性带来的空间可观,你无法想象 DeFi 空间里这一群有意思的人会鼓捣出什么新鲜玩意来.
2020年7月3日,住房和城乡建设部等部门联合发布《关于推动智能建造与建筑工业化协同发展的指导意见》,旨在推进建筑工业化、数字化、智能化升级,加快建造方式转变,推动建筑业高质量发展.
中新经纬客户端9月16日电 据英国《金融时报》16日消息,Facebook周一将就其计划中的Libra代币(天秤币)项目接受全球监管机构的质询.
注:本文来自Synthetix创始人Kain Warwick。正如Kain提到,文中的内容均来自社区反馈,最终能否添加到V3中,还需要通过治理这一关.
关于印度政府计划全面禁止加密货币的谣言最终证实是真的。官方报告以及负责制定加密使用框架的委员会的法案草案,于7月22日在最高法院审理加密案件的前一天发布.
美国证券交易委员会(SEC)已对两项比特币交易所交易基金(ETF)提案作出推迟的决定。 图片来源:flickr Bitwise资产管理公司与纽约证券交易所Arca提交的第一份ETF提案于2月15.
区块见闻