前言
北京时间10月20日晚,知道创宇区块链安全实验室监测到BSC链上的DeFi协议PancakeHunny的WBNB/TUSD池遭遇闪电贷攻击,HUNNY代币价格闪崩。实验室第一时间跟踪本次事件并分析。
分析
Pantera Capital区块链基金已获得10亿美元投资承诺,将于4月关闭:金色财经报道,Pantera Capital区块链基金已获得10亿美元投资承诺,并将于4月向新投资者关闭。Pantera 不会对其之前推出的三只风险基金进行新的投资,因为未来的交易将纳入新产品。区块链基金约 40% 的资产将用于风险投资。大约 30% 将用于早期代币,另外 30% 将分配给流动代币。该基金的风险股权交易的投资规模从100万美元到约4000万美元不等,通常作为种子轮、A轮或B轮融资的一部分。Pantera可能持有这些公司10%到20%的股份。此外,Pantera 还专注于热门的加密领域:区块链游戏、NFT 和元宇宙等。
截至目前,Pantera区块链基金已经投资了44个早期代币项目和风险股权交易。2021年5月,Pantera Capital宣布,它正在寻求为该基金筹集 6 亿美元。(blockworks)[2022/3/11 13:50:43]
攻击者信息
Avalanche链上DEX Pangolin与Eleven Finance达成合作:8月29日消息,基于Avalanche的去中心化交易所Pangolin与跨链收益优化器和杠杆收益耕作平台Eleven Finance合作。Eleven Finance此前已经在BSC、Polygon以及其他链上发布,现在正在向Avalanche扩展。Pangolin将添加AVAX-ELE和PNG-ELE交易对奖励池,以支持Eleven Finance和其ELE代币。此外,Eleven Finance平台将集成Pangolin奖励池。[2021/8/29 22:44:31]
攻击者:
收益聚合器Pancakebunny在Polygon上的版本遭外部攻击 已暂停所有Sushi机池:DeFi收益聚合器PancakeBunny发推称,其在Polygon上的版本遭外部攻击,已经暂停所有Polygon Sushi Vaults。官方称,目前Polygon vaults、BSC PancakeBunny vaults、BUNNY均安全。随后将公布详细情况。安全公司PeckShield发推表示,PancakeBunny遭遇闪电贷攻击,攻击者获利1281 WETH。[2021/7/17 0:58:53]
0x731821D13414487ea46f1b485cFB267019917689
DeFi热潮推动Pantera Capital加密货币基金收益大幅上涨:金色财经报道,DeFi的蓬勃发展在今年极大地提升了Pantera Capital的比特币和混合加密货币对冲基金的收益。从1月1日到8月31日,Pantera比特币基金上涨了61%,其数字资产基金上涨了168%,ICO基金上涨了323%,长期ICO基金上涨了270%。[2020/9/26]
攻击合约:
0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
第一次攻击tx:
0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
被攻击池信息
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
VaultStrategyAlpacaRabbit:0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻击流程
攻击者从CreamFinance通过闪电贷获得53.25BTC
用53.25BTC从Venus借出2717107TUSD
在PancakeSwap上,用TUSD兑换BNB,抬高BNB价格
使用50个不同的钱包地址将38250TUSD存入HUNNYTUSDVault合约
赎回2842.16TUSD,并铸造12020.40HUNNY代币
以7.78WBNB的价格卖出HUNNY代币
50个钱包重复26次以上步骤
细节
VaultStrategyAlpacaRabbit合约池的_harvest()函数中,资产的兑换路由为ALPACA=>WBNB=>TUSD,而WBNB/TUSD池中流动性较低,易被操纵。
在巨额兑换后,抬高了WBNB对TUSD的价格,攻击者调用harvest()函数后,Vault合约的TUSD利润剧增,随后调用getReward()函数,通过30%的performanceFee手续费铸造HUNNY代币,只要铸造出的HUNNY代币价值超过30%的performanceFee手续费,就有利可图。
目前,PancakeHunny官方已采取紧急措施,暂停了TUSDVault合约的铸币。
总结
此次PancakeHunny遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控,未做全面考虑和防护,从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。