FIN:BSC链上项目再遭黑客攻击 PancakeHunny被黑事件简析_ANC

一、事件概览

北京时间6月3日11时11分，链必安-区块链安全态势感知平台舆情监测显示，BSC链上项目PancakeHunny遭遇黑客攻击。据统计，此次攻击事件中，黑客总共获利43ETH。

面对又一起发生在BSC链上的项目被黑事件，成都链安·安全团队第一时间启动安全应急响应，针对PancakeHunny被黑事件进行跟踪分析，以提醒BSC链上各大项目切实提高安全防范意识，警惕“黑色5月”阴云的持续笼罩。

据了解，PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中，黑客采取的攻击手法大体上与此前攻击PancakeBunny近似，均是在短时间内增发大量的代币并抛向市场，并引起了HunnyToken币价暴跌。

Defina Finance入围币安BSC MVB III计划:据官方消息，10月22日，Defina Finance宣布入围币安智能链BSC最有价值项目计划III期——超越大爆炸。BSC MVB计划旨在推动区块链在专业领域的创新和应用，每一期会根据项目表现、安全性、社区等方面筛选潜力项目，还将竞争产生MVB月度最佳项目。Defina游戏正式版将在11月上线。

Defina Finance是基于区块链NFT技术的卡牌RPG游戏项目，Play To Earn和GameFi策略对战抢矿模式。[2021/10/23 6:08:58]

二、事件分析

PredictX将在BSC上启动首个基于AMM的预测市场:据官方消息，PredictX将在BSC上启动首个基于AMM的预测市场，这为用户和流动性提供者参与市场提供了更多的激励。此外，PredictX也是第一个将条件式代币（conditional token）带入BSC的团队，这是一种新的资产类别，通过嵌入代币中的组合结果，可以更轻松地在预测市场中创建流动性。

PredictX是将预测市场与DeFi相结合的DeFi协议。

PredictX的奖励机制设计精准，能自动调节流动性，允许用户在简单易用的平台上根据预测实现盈利，同时确保各市场的流动性处于最佳水平。[2021/5/4 21:23:28]

成都链安·安全团队针对被黑代码展开跟踪分析，根据已披露的线索和攻击交易上来看，黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击，如下图所示：

MDEX与Poly Network达成战略合作，共建Heco/ETH/BSC跨链桥:MDEX与跨链互操作性协议Poly Network达成战略合作，双方将共建Heco/ETH/BSC跨链桥。用户可通过MDEX Bridge实现资产在火币生态链Heco、以太坊和币安智能链BSC之间快速迁移。

MDEX是全球交易量最大的去中心化交易协议，交易量远超所有DEX总和，位列CoinMarketCap、CoinGecko DEX排行榜第一。[2021/4/6 19:49:16]

需要注意的是，mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户；但在读取需要转换的手续费时，错误地使用了balanceOf做为参数，且在兑换HunnyToken时，使用的是固定兑换比例，这给了黑客发动攻击的可乘之机。

黑客首先向hunnyMinter合约中打入了56个cake代币；再同时调用CakeFilpValut合约中的getReward函数，间接触发了hunnyMinter中的mintFor函数。

此时hunnyMinter合约中因存在黑客打入的cake，导致能够兑换大量的HunnyToken；而此时的HunnyToken的价格，已经超过设定的固定值，这使得此处存在套利空间。后续黑客一直使用相同方法进行套利，直至项目方置零固定兑换比例hunnyPerProfitBNB。

三、事件复盘

不难看出，此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看，黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此，成都链安提醒各大FORK项目尤其需要注重安全风险，加强安全防范工作，切勿懈怠。

同时，针对项目本身的开发和创新，我们建议开发者需要对原生项目进行深入理解，切勿一味地照搬和模仿；特别是在安全建设方面，在同步原生项目的安全防护策略之外，也需要联动第三方安全公司的力量，建立一套独立自主的安全风控体系，以应对各类突发的安全风险。

标签：UNNBSCANCFINsunny币未来前景EBSCFinance VoteCashCow Finance

莱特币热门资讯