以太坊:PancakeHunny攻击事件分析_XDAO

前言

PREFACE

北京时间 10 月 20 日晚,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 PancakeHunny 的 WBNB/TUSD 池遭遇闪电贷攻击,HUNNY 代币价格闪崩。实验室第一时间跟踪本次事件并分析。

分析

ANALYZE

Pantera:2023年将是区块链创业的绝佳时机,风投正等待将募集资金部署至加密领域:1月24日,加密基金Pantera Capital官方发布投资者信函《未来一年》,其中指出比特币在过去12个月的表现优于特斯拉、Meta和PayPal,该基金首席执行官Dan Morehead认为市场底部已经过去,我相信比特币已经触底,市场将很快看到链上资产的升值趋势,过去13年,平均每年的升值幅度可以达到2.3倍。

Pantera Capital普通合伙人Paul Veradittakit透露,DeFi和游戏仍是获得投资数量最多的垂直领域,其次是消费者应用、CeFi、链上基础设施和开发基础设施。PanteraCapital认为,2023年将是区块链创业的绝佳时机,VC行业在去年上半年募集到1210亿美元资金,许多风投机构都在等待将这些资金部署到加密领域。[2023/1/24 11:28:08]

攻击者信息攻击者:0x731821D13414487ea46f1b485cFB267019917689

Pantera Capital首只区块链基金计划在未来三至四个月内停止募资:金色财经消息,Pantera Capital首只区块链基金计划在未来三至四个月内停止募资,已承诺的投资金额约13亿美元,该募资金额已超6亿美元的初始目标两倍。Pantera Capital在投资者电话会议中表示,计划于2023年启动第二只区块链基金,仍然专注于早期投资、代币私募融资以及风投机构。Pantera Capital投资组合开发总监Franklin Bi还表示,或在2024年推出更大、更多元化、投资期更长的成长阶段基金。(CoinDesk)[2022/4/13 14:20:37]

攻击合约:0xa5312796DC20ADd51E41a4034bF1Ed481b708e71

隐私协议Panther Protocol完成200万美元私募融资:9月18日消息,隐私协议Panther Protocol完成200万美元私募融资。据悉,Panther基于以太坊,Polygon,Flare,Near,Avalanche构建,其目标是连接所有EVM兼容的智能合约平台。[2021/9/19 23:35:51]

第一次攻击tx:0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77

VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14

动态 | Pantera五年来加密货币投资回报率为10000%:据coindesk报道,加密货币投资公司Pantera的联合首席投资官Dan Morehead和Joey Krug周五在庆祝该基金成立五周年的一封电子邮件中宣布,该公司5年以来的加密投资回报率为10000%。同时,他们仍然看好比特币。[2018/7/28]

VaultStrategyAlpacaRabbit(proxy):0xef43313e8218f25Fe63D5ae76D98182D7A4797CC

攻击者从 Cream Finance 通过闪电贷获得 53.25 BTC

用 53.25 BTC 从 Venus 借出 2717107 TUSD

在 PancakeSwap 上,用 TUSD 兑换 BNB,抬高 BNB 价格

使用 50 个不同的钱包地址将 38250 TUSD 存入 HUNNY TUSD Vault 合约

赎回 2842.16 TUSD,并铸造 12020.40 HUNNY 代币

以7.78 WBNB 的价格卖出 HUNNY 代币

50个钱包重复26次以上步骤

细节VaultStrategyAlpacaRabbit 合约池的_harvest()函数中,资产的兑换路由为 ALPACA => WBNB => TUSD,而 WBNB/TUSD 池中流动性较低,易被操纵。

在巨额兑换后,抬高了 WBNB 对 TUSD 的价格,攻击者调用 harvest() 函数后,Vault 合约的 TUSD 利润剧增,随后调用 getReward() 函数,通过30%的 performanceFee 手续费铸造 HUNNY 代币,只要铸造出的 HUNNY 代币价值超过 30% 的 performanceFee 手续费,就有利可图。

目前,PancakeHunny 官方已采取紧急措施,暂停了 TUSD Vault 合约的铸币。

总结

SUMMARIZE

此次 PancakeHunny 遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控,未做全面考虑和防护,从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

实验室官网:www.knownseclab.com

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-6:636ms