El proyecto de la cadena BSC fue pirateado nuevamente PancakeHunny fue pirateado

1. Resumen del evento

A las 11:11 del 3 de junio, hora de Beijing, el monitoreo de la opinión pública de Lianbian-Blockchain Security Situational Awareness Platform (Beosin-Eagle Eye) mostró que el proyecto de la cadena BSC PancakeHunny fue atacado por piratas informáticos. Según las estadísticas, en este ataque, los piratas informáticos obtuvieron una ganancia total de 43 ETH (un total de más de 100 000 dólares estadounidenses).

Ante la piratería de otro proyecto en la cadena BSC, el equipo de seguridad de Chengdu Lianan lanzó de inmediato una respuesta de emergencia de seguridad para rastrear y analizar el evento de piratería PancakeHunny para recordar a los principales proyectos en la cadena BSC que mejoren efectivamente las precauciones de seguridad. la continua nube de "Mayo Negro".

Deri Protocol tiene un problema de demora en la solución de la máquina Oracle de la red BSC: el 22 de septiembre, el acuerdo de derivados descentralizados Deri Protocol declaró que encontró un problema de demora en la solución de la máquina Oracle de su red BSC y está investigando una nueva máquina Oracle. solución para resolver este problema. Antes de implementar la nueva solución Oracle Machine, la tarifa de la tarifa de transacción de futuros de la Zona Principal en la red principal de BSC se ajustó temporalmente. [2021/9/22 16:57:41]

Se entiende que PancakeHunny es otro proyecto de plato de imitación de PancakeBunny. En este incidente de piratería, el método de ataque adoptado por los piratas informáticos es generalmente similar al ataque anterior a PancakeBunny. Todos emitieron una gran cantidad de tokens en un corto período de tiempo y los arrojaron al mercado, lo que provocó que el precio de HunnyToken subiera. plomada.

XSURGE en la cadena BSC fue atacado por préstamos flash: PeckShield "Paid Shield" advirtió que el protocolo DeFi XSURGE en la cadena BSC fue atacado por préstamos flash. Se solicita a los usuarios que presten atención al control de riesgos. [2021/8/17 22:18:27]

2. Análisis de eventos

El equipo de seguridad de Chengdu Lianan realizó un análisis de seguimiento del código pirateado. De acuerdo con las pistas reveladas y las transacciones de ataque, el pirata informático utilizó principalmente el defecto de diseño de la función HunnyMinter para atacar, como se muestra en la siguiente figura:

DeFiBox lanzó la zona Binance Smart Chain BSC y apoya 8 proyectos en BSC para rastrear los ingresos mineros en tiempo real: el 29 de marzo, según el anuncio oficial, el portal DeFi de ventanilla única DeFiBox.com inauguró oficialmente Binance Smart Chain BSC zone , para ayudar a los usuarios a buscar proyectos DeFi de alta calidad en la cadena BSC.

Además, DeFiBox también anunció que ahora es compatible con las funciones de análisis de contratos de Venus, Autofarm, Goose Finance, 1 pulgada, JulSwap, Cream Finance, Alpaca Finance y BakerySwap. Los usuarios pueden rastrear la función de ingresos mineros en tiempo real a través de DeFiBox.com, y hacer cálculos basados ​​en datos relevantes Ajustes de política.

De acuerdo con el equipo de DeFiBox, en el futuro, DeFiBox.com proporcionará información más completa y autorizada sobre proyectos para ayudar a los usuarios a descubrir rápidamente oportunidades de inversión en proyectos de alta calidad. Vea el anuncio en el sitio web oficial para más detalles. [2021/3/29 19:26:09]

Cabe señalar que la función mintFor se utiliza para convertir la tarifa cobrada en HunnyToken y devolverla al usuario; pero al leer la tarifa que debe convertirse, utiliza erróneamente balanceOf como parámetro, y al intercambiar HunnyToken, utilícelo. es una relación de intercambio fija (1 BNB: 3200 HunnyToken en ese momento), que les dio a los piratas informáticos la oportunidad de atacar.

El hacker primero inyectó 56 tokens de pastel en el contrato de cuteMinter; luego, al mismo tiempo, llamó a la función getReward en el contrato CakeFilpValut, lo que activó indirectamente la función mintFor en cuteMinter.

En este momento, debido a la torta pirateada en el contrato hunnyMinter, se puede intercambiar una gran cantidad de HunnyToken; y el precio de HunnyToken en este momento ha excedido el valor fijo establecido, lo que hace que haya lugar para el arbitraje aquí. Los piratas informáticos posteriores han estado utilizando el mismo método para llevar a cabo el arbitraje hasta que la parte del proyecto estableció la relación de intercambio fija de hunnyPerProfitBNB en cero.

3. Revisión del evento

No es difícil ver que este incidente es otro incidente de piratería del proyecto de disco de imitación en la cadena BSC. Combinado con la experiencia de piratería de múltiples proyectos FORK como Merlin y AutoSharkFinance en mayo, los piratas informáticos siguen atacando los proyectos de discos de imitación en la cadena BSC. Aquí, Chengdu Lianan recuerda a todos los principales proyectos de FORK que presten especial atención a los riesgos de seguridad, fortalezcan las precauciones de seguridad y no se descuiden.

Al mismo tiempo, para el desarrollo y la innovación del proyecto en sí, sugerimos que los desarrolladores deben tener un conocimiento profundo de los proyectos nativos y no copiar e imitar ciegamente; especialmente en términos de construcción de seguridad, además de sincronizar el estrategias de protección de seguridad de los proyectos nativos, también es necesario vincular el poder de las empresas de seguridad de terceros para establecer un sistema de control de riesgos de seguridad independiente para hacer frente a diversos riesgos de seguridad repentinos.

Tags：

USDC