Un breve análisis del evento de piratería PancakeHunny en la cadena BSC

A las 11:11 del 3 de junio, hora de Beijing, el monitoreo de la opinión pública de Lianbian-Blockchain Security Situational Awareness Platform (Beosin-Eagle Eye) mostró que el proyecto de la cadena BSC PancakeHunny fue atacado por piratas informáticos. Según las estadísticas, en este ataque, los piratas informáticos obtuvieron una ganancia total de 43 ETH (un total de más de 100 000 dólares estadounidenses).

Ante la piratería de otro proyecto en la cadena BSC, el equipo de seguridad de Chengdu Lianan lanzó de inmediato una respuesta de emergencia de seguridad para rastrear y analizar el evento de piratería PancakeHunny para recordar a los principales proyectos en la cadena BSC que mejoren efectivamente las precauciones de seguridad. la continua nube de "Mayo Negro".

Se entiende que PancakeHunny es otro proyecto de plato de imitación de PancakeBunny. En este incidente de piratería, el método de ataque adoptado por los piratas informáticos es generalmente similar al ataque anterior a PancakeBunny. Todos emitieron una gran cantidad de tokens en un corto período de tiempo y los arrojaron al mercado, lo que provocó que el precio de HunnyToken subiera. plomada.

MXC Matcha: los usuarios de ZKS Holding han recibido airdrops en una proporción de 1:1: con respecto al problema de ZKS airdrop que preocupa a los usuarios en la comunidad, la persona relevante a cargo de MXC Matcha dijo: MXC Matcha es la primera plataforma en anunciar soporte para lanzamientos aéreos de ZKS, y todas las posiciones de spot se mantienen actualmente. Todos los usuarios han recibido lanzamientos aéreos en una proporción de 1:1.

Además, con respecto al problema de los productos apalancados de ZKS, debido a que algunos usuarios toman prestados tokens por adelantado para el arbitraje de venta corta, debido al airdrop 1:1, los usuarios deben devolver los tokens lanzados desde el aire además de pedir prestados los tokens. En la actualidad, se ha completado la comunicación con todos los usuarios relevantes y las cuentas de usuario se pueden usar normalmente. Algunos usuarios no estaban satisfechos con el éxito del arbitraje, difundieron rumores en la comunidad y pagaron a otros para difundir artículos falsos. MXC Matcha quisiera advertir al personal relevante, por favor detenga tal comportamiento de inmediato y también pida a todos los usuarios que disciernan los hechos y se abstengan de difundir rumores. [2021/3/1 18:04:13]

La entrada neta de 24 horas de fondos USDT es de 84,4873 millones de yuanes: los datos de seguimiento de Jinse Finance muestran que las tres principales entradas netas de 24 horas en el mercado de criptomonedas son [2020/11/9 12:02:26]

El equipo de seguridad de Chengdu Lianan realizó un análisis de seguimiento del código pirateado. De acuerdo con las pistas reveladas y las transacciones de ataque, el pirata informático utilizó principalmente el defecto de diseño de la función HunnyMinter para atacar, como se muestra en la siguiente figura:

Cabe señalar que la función mintFor se utiliza para convertir la tarifa cobrada en HunnyToken y devolverla al usuario; pero al leer la tarifa que debe convertirse, utiliza erróneamente balanceOf como parámetro, y al intercambiar HunnyToken, utilícelo. es una relación de intercambio fija (1 BNB: 3200 HunnyToken en ese momento), que les dio a los piratas informáticos la oportunidad de atacar.

El hacker primero inyectó 56 tokens de pastel en el contrato de cuteMinter; luego, al mismo tiempo, llamó a la función getReward en el contrato CakeFilpValut, lo que activó indirectamente la función mintFor en cuteMinter.

En este momento, debido a la torta pirateada en el contrato hunnyMinter, se puede intercambiar una gran cantidad de HunnyToken; y el precio de HunnyToken en este momento ha excedido el valor fijo establecido, lo que hace que haya lugar para el arbitraje aquí. Los piratas informáticos posteriores han estado utilizando el mismo método para llevar a cabo el arbitraje hasta que la parte del proyecto estableció la relación de intercambio fija de hunnyPerProfitBNB en cero.

No es difícil ver que este incidente es otro incidente de piratería del proyecto de disco de imitación en la cadena BSC. Combinado con la experiencia de piratería de múltiples proyectos FORK como Merlin y AutoSharkFinance en mayo, los piratas informáticos siguen atacando los proyectos de discos de imitación en la cadena BSC. Aquí, Chengdu Lianan recuerda a todos los principales proyectos de FORK que presten especial atención a los riesgos de seguridad, fortalezcan las precauciones de seguridad y no se descuiden.

Al mismo tiempo, para el desarrollo y la innovación del proyecto en sí, sugerimos que los desarrolladores deben tener un conocimiento profundo de los proyectos nativos y no copiar e imitar ciegamente; especialmente en términos de construcción de seguridad, además de sincronizar el estrategias de protección de seguridad de los proyectos nativos, también es necesario vincular el poder de las empresas de seguridad de terceros para establecer un sistema de control de riesgos de seguridad independiente para hacer frente a diversos riesgos de seguridad repentinos.

Tags：

AAVE