UNN:BSC链上项目再遭黑客攻击 PancakeHunny被黑事件简析

一、事件概览

北京时间6月3日11时11分，链必安-区块链安全态势感知平台（Beosin-Eagle Eye）舆情监测显示，BSC链上项目PancakeHunny遭遇黑客攻击。据统计，此次攻击事件中，黑客总共获利43ETH（合计10余万美元）。

面对又一起发生在BSC链上的项目被黑事件，成都链安·安全团队第一时间启动安全应急响应，针对PancakeHunny被黑事件进行跟踪分析，以提醒BSC链上各大项目切实提高安全防范意识，警惕“黑色5月”阴云的持续笼罩 。

BNB Chain：已发布BSC v1.1.15版本，计划1小时内重启网络:10月7日消息，BNB Chain发推称，已发布BSC v1.1.15版本，BSC验证者正在协调，以寻求在1小时内恢复BNB智能链（BSC）。新版本将阻止黑客账户相关活动。BNB信标链和BNB智能链之间的原生跨链通信已禁用。官方要求所有节点运营者尝试升级至上述版本。验证者和社区将讨论进一步升级以完全解决此问题。[2022/10/7 18:41:50]

据了解，PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中，黑客采取的攻击手法大体上与此前攻击PancakeBunny近似，均是在短时间内增发大量的代币并抛向市场，并引起了HunnyToken币价暴跌。

LendHub开启跨链至BSC网络的社区治理投票:LendHub即将开启跨链至BSC网络的DAO社区治理投票，所有持币LHB的用户均可通过DAO锁仓参与本次投票。若社区投票通过，去中心化借贷平台LendHub将跨链至BSC，实现Heco链与BSC链双生态共同发展。[2021/5/19 22:19:59]

二、事件分析

成都链安·安全团队针对被黑代码展开跟踪分析，根据已披露的线索和攻击交易上来看，黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击，如下图所示：

BiKi宣布支持USDT BTC ETH等5个币种在HECO、BSC网络的充提合并:据官方消息，为支持HECO、BSC生态，降低用户充提成本，满足用户的资产跨链需求，BiKi平台已支持USDT、BTC、ETH、HT、BNB在HECO、BSC网络的充提合并，充提地址已更新，请用户在充提时选择对应网络并复制新的地址。BiKi平台也将开通更多优质币种在HECO、BSC网络的充提合并。

BiKi成立于2018年，是一家全球性的数字资产交易服务和区块链技术提供商，旗下包括币币、合约、网格、杠杆、余币宝、抵押借贷、ETF、流动性挖矿等业务。拥有强大的技术团队和运营团队，致力于为全球用户提供安全、稳定、高效的服务，目前已在新加坡、韩国、越南、日本、俄罗斯、土耳其等多个国家地区设有运营中心，注册用户超350万。[2021/3/18 18:57:18]

需要注意的是，mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户；但在读取需要转换的手续费时，错误地使用了balanceOf做为参数，且在兑换HunnyToken时，使用的是固定兑换比例（当时为1 BNB：3200 HunnyToken），这给了黑客发动攻击的可乘之机。

黑客首先向hunnyMinter合约中打入了56个cake代币；再同时调用CakeFilpValut合约中的getReward函数，间接触发了hunnyMinter中的mintFor函数。

此时hunnyMinter合约中因存在黑客打入的cake，导致能够兑换大量的HunnyToken；而此时的HunnyToken的价格，已经超过设定的固定值，这使得此处存在套利空间。后续黑客一直使用相同方法进行套利，直至项目方置零固定兑换比例hunnyPerProfitBNB。

三、事件复盘

不难看出，此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看，黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此，成都链安提醒各大FORK项目尤其需要注重安全风险，加强安全防范工作，切勿懈怠。

同时，针对项目本身的开发和创新，我们建议开发者需要对原生项目进行深入理解，切勿一味地照搬和模仿；特别是在安全建设方面，在同步原生项目的安全防护策略之外，也需要联动第三方安全公司的力量，建立一套独立自主的安全风控体系，以应对各类突发的安全风险。

标签：BSCUNNCAKEBNBPXBSC价格SUNNYTCAKE币bnb犯法吗

BTC热门资讯