BSC:币安智能链 PancakeBunny（BUNNY）攻击事件分析

前言

世界时5月20日10:34:28，币安智能链DeFi收益聚合器PancakeBunny遭到来自外部开发人员的闪电贷攻击，黑客利用闪电贷套利114631个BNB，大约4000W美元，涉及金额巨大。知道创宇区块链安全实验室旨在通过全盘梳理攻击流程和代码细节，一窥闪电贷套利的秘密。基础信息

攻击者地址：0xa0acc61547f6bd066f7c9663c17a312b6ad7e187攻击合约地址：0xcc598232a75fb1b361510bce4ca39d7bc39cf498攻击交易hash:0x897c2de73dd55d7701e1b69ffb3a17b0f4801ced88b0c75fe1551c5fcce6a979黑客利用闪电贷借大量BNB，通过PancakeSwap操纵USDT/BNB以及BUNNY/BNB价格，获得大量BUNNY后再进行抛售，导致BUNNY价格闪崩，并且从中获利。实验室就该次攻击事件进行分析，在链上查询到了交易链接以及攻击合约地址。攻击合约地址：0xcc598232a75fb1b361510bce4ca39d7bc39cf498攻击交易链接及截图：https://bscscan.com/tx/0x897c2de73dd55d7701e1b69ffb3a17b0f4801ced88b0c75fe1551c5fcce6a979

Filecoin去中心化金融服务平台DeFIL正式上线币安智能链BSC:据最新消息，Filecoin去中心化金融服务平台DeFIL 2.0 于区块高度10525502正式上线币安智能链BSC，并同步开启所有功能，包括算力NFT和FILST铸造、eFIL跨链、流动性挖矿、质押借贷等。同时，defil于9月1日11:00 (UTC+8) ~9月6日 11:00 (UTC+8)期间推出《DeFIL 2.0正式上线BSC！10,000 DFL等你来赢！》活动。活动期间，在PancakeSwap上FILST净买入量（买入-卖出）＞0 FILST的用户即可按比例参与瓜分10,000 DFL奖励。

注：DeFIL 2.0在BSC上的交互需要用户在支持BSC的钱包应用中从以太坊切换为BSC网络，并且在交易所购买少量BNB转入钱包用作智能合约交互所需的Gas费用。[2021/9/1 22:51:51]

MDEX上线币安智能链BSC五秒后，TVL超5.5亿美元:据MDEX.COM官方数据显示，MDEX上线币安智能链BSC五秒后，TVL已超5.5亿美元。[2021/4/8 19:59:35]

图1

图2

DeFi平台Effect Network将从EOS区块链转向币安智能链:DeFi平台Effect Network将从EOS区块链转向币安智能链。Effect Network开发人员周四表示，转向BSC的主要原因是对EOS区块链及其领导层的未来的担忧。此前1月份消息，EOS创始人BM辞去Block.one首席技术官一职。（CoinDesk）[2021/3/26 19:19:25]

图3攻击步骤详解

1.攻击者先调用图2交易，进行了一次抵押，此时会产生抵押奖励；2.然后攻击者通过图1的交易从闪电贷平台借出大量BNB和USDT，通过PancakeSwap的交易对去添加流动性获取lp代币，并将lp代币留在了交易对合约中；3.因为攻击者进行过抵押，然后通过调用图3中VaultFlipToFlip合约的getReward函数来获取BUNNY代币奖励并取回移除先前添加的流动性，然而在奖励计算时，获取BUNNY数量的逻辑出现问题导致产生大量的BUNNY代币，并通过PancakeSwap兑换成BNB，造成了BUNNY价格暴跌；4.通过3步骤得到BNB之后归还到闪电贷地址，并从中获利114631个BNB，价值大约4000W美元。总结

本次攻击事件，攻击者在一笔交易中完成了一系列借用、兑换、获取奖励、归还闪电贷等操作，其主要原因还是项目在计算抵押奖励时获取lp价格出现了逻辑问题，导致黑客利用这一漏洞进行了攻击。

目前，我们在项目方的twitter上注意到，项目方已经暂停了一些项目的存取款功能，并商讨安全修复方案和赔偿计划。如果有新的进展，实验室会在第一时间跟进和分析，请持续关注！

标签：FILBSCEFIBNBfilecoin币怎么挖BSCGOLD币COREFItogetherbnb能推倒几个

火星币热门资讯