El proyecto de la cadena BSC fue pirateado nuevamente PancakeHunny fue pirateado

1. Resumen del evento

A las 11:11 del 3 de junio, hora de Beijing, el monitoreo de la opinión pública de Lianbian-Blockchain Security Situational Awareness Platform (Beosin-Eagle Eye) mostró que el proyecto de la cadena BSC PancakeHunny fue atacado por piratas informáticos. Según las estadísticas, en este ataque, los piratas informáticos obtuvieron una ganancia total de 43 ETH (un total de más de 100 000 dólares estadounidenses).

Ante la piratería de otro proyecto en la cadena BSC, el equipo de seguridad de Chengdu Lianan lanzó de inmediato una respuesta de emergencia de seguridad para rastrear y analizar el evento de piratería PancakeHunny para recordar a los principales proyectos en la cadena BSC que mejoren efectivamente las precauciones de seguridad. la continua nube de "Mayo Negro".

Se entiende que PancakeHunny es otro proyecto de plato de imitación de PancakeBunny. En este incidente de piratería, el método de ataque adoptado por los piratas informáticos es generalmente similar al ataque anterior a PancakeBunny. Todos emitieron una gran cantidad de tokens en un corto período de tiempo y los arrojaron al mercado, lo que provocó que el precio de HunnyToken subiera. plomada.

El precio mínimo del proyecto NFT Digi Daigaku superó los 12 ETH: el 29 de agosto, según datos de OpenSea, el precio mínimo del proyecto NFT Digi Daigaku superó los 12 ETH, informado temporalmente en 12,4 ETH. El proyecto fue lanzado el 9 de agosto en forma de Free Mint. [2022/8/29 12:55:54]

2. Análisis de eventos

El equipo de seguridad de Chengdu Lianan realizó un análisis de seguimiento del código pirateado. De acuerdo con las pistas reveladas y las transacciones de ataque, el pirata informático utilizó principalmente el defecto de diseño de la función HunnyMinter para atacar, como se muestra en la siguiente figura:

Opinión: Visa y otros suspenden los pagos de Pornhub, lo cual es bueno para los activos encriptados: según las noticias del 11 de diciembre, MasterCard y Visa siguieron los pasos de PayPal y suspendieron el soporte de pago para el sitio web para adultos Pornhub. Algunos analistas creen que, de hecho, esto brinda una oportunidad importante para la adopción masiva de activos encriptados. En septiembre, Pornhub anunció que admite pagos BTC y LTC. (Criptopatata) [2020/12/11 14:57:21]

Cabe señalar que la función mintFor se utiliza para convertir la tarifa cobrada en HunnyToken y devolverla al usuario; pero al leer la tarifa que debe convertirse, utiliza erróneamente balanceOf como parámetro, y al intercambiar HunnyToken, utilícelo. es una relación de intercambio fija (1 BNB: 3200 HunnyToken en ese momento), que les dio a los piratas informáticos la oportunidad de atacar.

El hacker primero inyectó 56 tokens de pastel en el contrato de cuteMinter; luego, al mismo tiempo, llamó a la función getReward en el contrato CakeFilpValut, lo que activó indirectamente la función mintFor en cuteMinter.

En este momento, debido a la torta pirateada en el contrato hunnyMinter, se puede intercambiar una gran cantidad de HunnyToken; y el precio de HunnyToken en este momento ha excedido el valor fijo establecido, lo que hace que haya lugar para el arbitraje aquí. Los piratas informáticos posteriores han estado utilizando el mismo método para llevar a cabo el arbitraje hasta que la parte del proyecto estableció la relación de intercambio fija de hunnyPerProfitBNB en cero.

3. Revisión del evento

No es difícil ver que este incidente es otro incidente de piratería del proyecto de disco de imitación en la cadena BSC. Combinado con la experiencia de piratería de múltiples proyectos FORK como Merlin y AutoSharkFinance en mayo, los piratas informáticos siguen atacando los proyectos de discos de imitación en la cadena BSC. Aquí, Chengdu Lianan recuerda a todos los principales proyectos de FORK que presten especial atención a los riesgos de seguridad, fortalezcan las precauciones de seguridad y no se descuiden.

Al mismo tiempo, para el desarrollo y la innovación del proyecto en sí, sugerimos que los desarrolladores deben tener un conocimiento profundo de los proyectos nativos y no copiar e imitar ciegamente; especialmente en términos de construcción de seguridad, además de sincronizar el estrategias de protección de seguridad de los proyectos nativos, también es necesario vincular el poder de las empresas de seguridad de terceros para establecer un sistema de control de riesgos de seguridad independiente para hacer frente a diversos riesgos de seguridad repentinos.

Tags：

LTC