BSC链上项目PancakeHunny被黑事件简析

北京时间6月3日11时11分,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH(合计10余万美元)。

面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩 。

据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。

酷狗上线数字藏品频道:金色财经报道,酷狗音乐APP已上线数字藏品频道,目前,在酷狗音乐APP里直接搜索“数字藏品”即可显示“酷狗官方数字藏品频道”,点击就能进入其官方数字藏品商城。据了解,酷狗音乐数字藏品平台已形成平台化合作模式,面向个人创作者打造了一个开放生态。此外,酷狗音乐数字藏品面向IP机构实现开放,如与敦煌美术院、HDM画廊等IP机构合作,平台的3D引擎驱动、算法幂次方等技术以及酷狗站内全方位资源。一方面,独立艺术家或IP机构可以通过酷狗数字藏品平台发行藏品获得收益并扩大影响,发行数字藏品的实际版权100%归属艺术家或IP机构;另一方面,基于酷狗数字藏品的平台属性,为独立艺术家和品牌方提供一个合作的桥梁,将品牌方的IP艺术再创作,打造全新的数字藏品形象。[2022/3/5 13:39:30]

门罗币上线去中心化矿池 P2Pool:10月6日消息,门罗币上线由匿名开发者 SChernykh 开发的点对点、去中心化门罗币矿池 P2Pool,它结合了矿池挖矿和个人挖矿的优势,使得矿工在参与矿池集体挖矿时仍然可以完全控制自己的门罗币节点,矿池所有挖出来的区块即时向矿工付款,没有矿池钱包,资金永远不会被扣留。同时 P2Pool 使用单独的区块链将矿工的服务器与 Monero 网络合并,没有可以关闭或阻止的中央服务器,因此没有任何矿池管理员可以控制矿工的算力或决定谁能参与矿池挖矿。此外 P2Pool 采用 PPLNS(Pay Per Last N Shares) 方案,矿池费用和 XMR 的支付费用均为 0 (根据设计机制,费用不能增加),每个矿工都直接通过 Coinbase Transaction 获得奖励,且最低的奖励支付限额为 0.0004 XMR,每次支付只需要 38 字节。[2021/10/6 20:09:20]

成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:

需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例(当时为1 BNB:3200 HunnyToken),这给了黑客发动攻击的可乘之机。

黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。

此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。

不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。

同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

USDC观点:解读抗 MEV 型 DEX 领域的创新实验

去年夏天 DeFi 进入爆发式增长时,我们见证了许多 DEX 聚合器,如 1inch、 Matcha、 ParaSwap 等,它们在我们的日常交易生活中发挥了重要作用,让我们在加密交易中获得更好的价格、支付更低的费用成本。

ADA杠杆持有11万枚比特币的公司 有没有被清算的风险?

每一轮市场的涨跌周期里,最最最不变的就是人性,这也是狂人这些年对大趋势判断很难出错的根本。分析师都被捧上天,散户都很快乐的时候,这种时候即便不是顶,也距离顶部不会太远,这个时候要做的就是出来观望,等待多数人被套牢;相反,当所有分析师都不想分析行情,被骂的狗血淋头的时候,你就逐步的、尽情的买吧,这个时候买入不仅安全,而且很可能是底部区间。

MATIC一文梳理香港虚拟货币监管政策

2021年5月,香港财经事务及库务局就《有关香港加强打击及恐怖 分子资金筹集规管的立法建议公众咨询》发布咨询总结(以下简称“咨询总结”)。

[0:15ms0-5:279ms