BSC链中pancake hunny被黑的原因分析

释放双眼,带上耳机,听听看~!

(1) 活动概述

北京时间6月3日11时11分,beosin鹰眼平台舆情监测显示,BSC链上项目pancakehunny遭到黑客攻击。据统计,黑客在这次攻击中共获利43 ETH(超过10万美元)。

面对BSC链上另一个项目被黑客入侵,成都链安团队立即启动安全应急响应,对pancake hunny事件进行跟踪分析,从而提醒BSC链上的重大项目切实提高安全意识,防范“黑五月”的连绵阴云。

据悉,《煎饼汉尼》是《煎饼兔》的另一个复制项目。在这次被黑客攻击的情况下,黑客采取的攻击策略与之前对煎饼兔的攻击类似。他们都在短时间内发行了大量代币并投放市场,造成了汉尼代币的价格暴跌。

BSC链上项目PancakeHunny被黑事件简析

(2) 事件分析

成都联安·安全团队开始跟踪分析黑客代码。根据披露的线索和攻击交易,黑客主要利用HunnyInter功能的设计缺陷进行攻击,如下图所示:

BSC链上项目PancakeHunny被黑事件简析

需要注意的是,mintfor函数用于将服务费转换成hunnytoken并返回给用户;然而,在读取需要转换的服务费时,却错误地使用balanceof作为参数,在转换hunnytoken时,使用了固定的转换比率(当时1 BNB:3200 hunnytoken),这给了黑客发动攻击的机会。

BSC链上项目PancakeHunny被黑事件简析

黑客首先将56个蛋糕代币打入hunnyminter合同;同时,调用cakefilpvalut合同中的getreward函数,间接触发hunnyminter中的mintfor函数。

在这种情况下,由于黑客的入侵,hunnyminter合同可以交换大量HunnyToken;此时,hunnytoken的价格已经超过了设定的固定值,这使得这里存在套利空间。随后黑客们一直用同样的方法进行套利,直到项目方固定汇率为零亨尼百利银行。

BSC链上项目PancakeHunny被黑事件简析

(3) 事件恢复

不难看出,这次事件是BSC链上复制盘项目的又一次停电。结合5月份梅林、autosharkfinance等多个fork项目的黑客入侵经历,目前BSC链上黑客对仿盘项目的攻击态势仍在继续发酵。对此,成都链安提醒各大叉子项目要特别注意安全隐患,加强安全防范工作,切莫懈怠。

同时,对于项目本身的开发和创新,我们建议开发商对原有项目要有深刻的认识,而不是盲目的照搬和模仿;特别是在安全建设方面,除了同步原有项目的安全防护策略外,还需要建立一套独立的安全风险控制体系,借助第三方安全公司的力量来应对各种突发性的安全风险。

为TA充电
共{{data.count}}人
人已赞赏
头条资讯

印度央行重申对加密货币交易的主要关注点

2021-6-5 19:42:49

DEFINFT头条行情资讯

5月defi综述:NFT碎片化逆趋势增长

2021-6-5 19:43:19

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索