BSC鏈上項目再遭黑客攻擊 PancakeHunny被黑事件簡析_UNN:CAKE

一、事件概覽

北京時間6月3日11時11分，鏈必安-區塊鏈安全態勢感知平臺（Beosin-Eagle Eye）輿情監測顯示，BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計，此次攻擊事件中，黑客總共獲利43ETH（合計10余萬美元）。

面對又一起發生在BSC鏈上的項目被黑事件，成都鏈安·安全團隊第一時間啟動安全應急響應，針對PancakeHunny被黑事件進行跟蹤分析，以提醒BSC鏈上各大項目切實提高安全防范意識，警惕“黑色5月”陰云的持續籠罩 。

BSC鏈上托管平臺Justcows疑似跑路，項目方已轉移500萬美元資金:6月24日消息，據推特用戶@eternal1997L的推文，BSC鏈上的托管平臺Justcows疑似跑路，項目方將大量的BUSD通過混幣的形式，分散到了至少上萬個地址里，其中部分資金轉到了hunterswap，還有一部分進了交易所。據悉，該平臺1個月前曾發布公告，停止用戶提現。據悉，Justcows卷走了500萬美元的用戶資金。

項目方錢包地址疑似0xb619571786E069c635605A175D7B668bD74ae6a5。[2022/6/24 1:28:27]

據了解，PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中，黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似，均是在短時間內增發大量的代幣并拋向市場，并引起了HunnyToken幣價暴跌。

BSC鏈上收益聚合器Pinecone Finance保險庫遭受攻擊，損失約20萬美元:8月19日，據Pinecone Finance Official官方公告顯示，BSC鏈上收益聚合器PineconeFinance保險庫遭受攻擊，損失約350萬枚PCT（約合20萬美元），目前官方已確定攻擊者的三個錢包地址，并聯系Binance團隊采取了相關行動來定位攻擊者，同時進一步的賠償計劃將很快公布。[2021/8/19 22:24:29]

二、事件分析

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析，根據已披露的線索和攻擊交易上來看，黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊，如下圖所示：

RISE現已上線BSC生態鏈，同時在BKEX開放交易:據官方消息，RISE現已上線BSC生態鏈并已于上周上線BKEX。RISE 將傳統股票市場的回購方式帶到了加密貨幣中，代幣持有者不僅可以通過靜態獎勵獲益，還可以通過合同的回購過程獲益。作為回購過程的一部分，合同負責回購一些代幣，并在發生賣出時將其銷毀。

官方表示：RISE還制定了構建去中心化應用程序 (DApps) 的計劃，以解決當前市場的主要問題。屆時將上線EverOwn，EverLock也在開發計劃中，目的是改進當前的預售和流動性鎖定過程。[2021/6/27 0:10:03]

需要注意的是，mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶；但在讀取需要轉換的手續費時，錯誤地使用了balanceOf做為參數，且在兌換HunnyToken時，使用的是固定兌換比例（當時為1 BNB：3200 HunnyToken），這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣；再同時調用CakeFilpValut合約中的getReward函數，間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake，導致能夠兌換大量的HunnyToken；而此時的HunnyToken的價格，已經超過設定的固定值，這使得此處存在套利空間。后續黑客一直使用相同方法進行套利，直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出，此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看，黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此，成都鏈安提醒各大FORK項目尤其需要注重安全風險，加強安全防范工作，切勿懈怠。

同時，針對項目本身的開發和創新，我們建議開發者需要對原生項目進行深入理解，切勿一味地照搬和模仿；特別是在安全建設方面，在同步原生項目的安全防護策略之外，也需要聯動第三方安全公司的力量，建立一套獨立自主的安全風控體系，以應對各類突發的安全風險。

Tags：UNNBSCANCCAKEPOLYBUNNY幣Shield BSC TokenYearnAgnostic FinanceCAKEUP

DAI