前言
北京时间10月20日晚,知道创宇区块链安全实验室监测到BSC链上的DeFi协议PancakeHunny的WBNB/TUSD池遭遇闪电贷攻击,HUNNY代币价格闪崩。实验室第一时间跟踪本次事件并分析。
分析
Panther Protocol与网络安全解决方案提供商Kudelski Security达成合作:10月16日消息,DeFi端到端隐私协议Panther Protocol与网络安全解决方案提供商Kudelski Security达成合作。作为 最新加入Kudelski合作伙伴生态系统的项目,Panther的目标是随着Kudelski在美国和英国推进数据驱动解决方案的交付,提供更多的隐私支持。这一合作将Kudelski的合作伙伴网络扩展到区块链生态系统,因为Panther的隐私保护协议加快其将数据市场、数据货币化和支持DeFi的生态系统更快推向市场并提供更先进的服务和构建能力。[2021/10/16 20:34:10]
攻击者信息
基于 Avalanche 的去中心化交易所 Pangolin 已上线:Avalanche 共识协议发明者、康奈尔大学教授 Emin Gün Sirer 发推表示,基于 Avalanche 的去中心化交易所 Pangolin 已正式上线。该项目使用与 Uniswap 相同的自动做市商(AMM)模型,治理令牌为 PNG。
官方称,Pangolin 的优势在于快速廉价的交易、社区驱动的产品开发以及 100% 社区分配的代币发行。[2020/12/10 14:48:36]
攻击者:
0x731821D13414487ea46f1b485cFB267019917689
Pantera Capital将发行高达1.34亿美元的股票:11月22日消息,在昨日提交给美国证券交易委员会的一份文件中,加密投资公司Pantera Capital宣布将发行高达1.34亿美元的股票,这是该公司7年历史上最大的一次融资。Pantera成立于2013年,是美国第一支比特币基金,最初只筹集了1300万美元,后来筹集了2500万美元。尽管目前还没有消息表明,此次新融资是否会催生一只新基金,或者只是扩大风投基金III的规模,但Pantera最新的投资和高管评论可能会暗示其即将实施的战略。(Cointelegraph)[2020/11/22 21:38:39]
攻击合约:
声音 | Mati Greenspan:BTC的下一个阻力位是2万美元:市场分析师Mati Greenspan认为,BTC的下一个主要阻力位是2万美元,FOMO(追涨)阶段还在后面,另外持有LTC和BNB是最佳选择。[2019/5/28]
0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
第一次攻击tx:
0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
被攻击池信息
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
VaultStrategyAlpacaRabbit:0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻击流程
攻击者从CreamFinance通过闪电贷获得53.25BTC
用53.25BTC从Venus借出2717107TUSD
在PancakeSwap上,用TUSD兑换BNB,抬高BNB价格
使用50个不同的钱包地址将38250TUSD存入HUNNYTUSDVault合约
赎回2842.16TUSD,并铸造12020.40HUNNY代币
以7.78WBNB的价格卖出HUNNY代币
50个钱包重复26次以上步骤
细节
VaultStrategyAlpacaRabbit合约池的_harvest()函数中,资产的兑换路由为ALPACA=>WBNB=>TUSD,而WBNB/TUSD池中流动性较低,易被操纵。
在巨额兑换后,抬高了WBNB对TUSD的价格,攻击者调用harvest()函数后,Vault合约的TUSD利润剧增,随后调用getReward()函数,通过30%的performanceFee手续费铸造HUNNY代币,只要铸造出的HUNNY代币价值超过30%的performanceFee手续费,就有利可图。
目前,PancakeHunny官方已采取紧急措施,暂停了TUSDVault合约的铸币。
总结
此次PancakeHunny遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控,未做全面考虑和防护,从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
11月12日星期五下午16:00,由DefiCliq发起,焦点区块链主办,行业深度对话访谈AMA在焦点社区拉开帷幕。本期特别邀请DefiCliq创始人ShantanuSharma出席嘉宾.
1900/1/1 0:00:00《区块链行业观察》专栏·第53篇作者丨SaniAbdul-Jabbar图片丨来源于网络如果有人想出了如何使用区块链技术来彻底改变石油和天然气行业?那会是什么样子,我想知道.
1900/1/1 0:00:00Uniswap的历史进程在研究币对兑换率之前,我们需要先了解一下什么是Uniswap。Uniswap本质上是一个在以太坊区块链上进行去中心化、无需许可的代币交换的协议.
1900/1/1 0:00:00自11个月前主网上线以来,Filecoin网络的人气不断攀升,全网存储容量已经成功越过10EiB大关,据其官网所言.
1900/1/1 0:00:00元宇宙正在扩大。一个充满互动体验的沉浸式世界正在我们面前打开,而且由于新兴的PlaytoEarn模式和NFT,经济机会已经出现。投资者正越来越多地向有可能带来可观回报的颠覆性元宇宙初创公司投资.
1900/1/1 0:00:002021年9月28日,Strips团队做客龙葵社区,与我们大家一起分享的嘉宾是StripsCOO夏别信.
1900/1/1 0:00:00
火星链