BELT:BSC鏈上項目再遭黑客攻擊，「黑色5月」陰云持續？

一、事件概覽

北京時間6月3日11時11分，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，BSC鏈上項目PancakeHunny遭遇黑客攻擊。據統計，此次攻擊事件中，黑客總共獲利43ETH。

面對又一起發生在BSC鏈上的項目被黑事件，成都鏈安·安全團隊針對PancakeHunny被黑事件進行跟蹤分析，以提醒BSC鏈上各大項目切實提高安全防范意識，警惕“黑色5月”陰云的持續籠罩?。

BXH笨小孩BSC鏈上流動性質押突破3億美元:官方數據顯示，目前BXH于BSC鏈上TVL突破3億美元。7月30日20:00，一站式DeFi交易平臺BXH上線幣安智能鏈BSC。[2021/7/31 1:26:14]

據了解，PancakeHunny是PancakeBunny的又一仿盤項目。在本次被黑事件中，黑客采取的攻擊手法大體上與此前攻擊PancakeBunny近似，均是在短時間內增發大量的代幣并拋向市場，并引起了HunnyToken幣價暴跌。

受BSC鏈上Belt Finance攻擊事件影響 beltBUSD價格出現脫鉤:DeFi跨鏈收益聚合器Autofarm發推稱，我們注意到beltBUSD的價格下跌至脫鉤。belt4LP的autofarm vault運行正常，但用戶會發現自己的存款美元價值下降，因為標的資產的價格發生了變化。關于beltBUSD價格的更新，請咨詢Belt Finance官方。目前，我們沒有任何官方建議，但將繼續密切關注事件進展，并在獲得更多信息后及時更新。其他belt vaults也在正常運作（beltBTC、beltETH、beltBNB）。此前消息，Belt Finance遭到閃電貸攻擊。Belt Finance官方表示，beltBTC、beltETH、beltBNB已經恢復運作。[2021/5/30 22:56:17]

二、事件分析

BiKi宣布支持USDT BTC ETH等5個幣種在HECO、BSC網絡的充提合并:據官方消息，為支持HECO、BSC生態，降低用戶充提成本，滿足用戶的資產跨鏈需求，BiKi平臺已支持USDT、BTC、ETH、HT、BNB在HECO、BSC網絡的充提合并，充提地址已更新，請用戶在充提時選擇對應網絡并復制新的地址。BiKi平臺也將開通更多優質幣種在HECO、BSC網絡的充提合并。

BiKi成立于2018年，是一家全球性的數字資產交易服務和區塊鏈技術提供商，旗下包括幣幣、合約、網格、杠桿、余幣寶、抵押借貸、ETF、流動性挖礦等業務。擁有強大的技術團隊和運營團隊，致力于為全球用戶提供安全、穩定、高效的服務，目前已在新加坡、韓國、越南、日本、俄羅斯、土耳其等多個國家地區設有運營中心，注冊用戶超350萬。[2021/3/18 18:57:18]

成都鏈安·安全團隊針對被黑代碼展開跟蹤分析，根據已披露的線索和攻擊交易上來看，黑客主要是利用了HunnyMinter函數的設計缺陷進行了攻擊，如下圖所示：

需要注意的是，mintFor函數用于將收取的手續費轉化為HunnyToken并返還給用戶；但在讀取需要轉換的手續費時，錯誤地使用了balanceOf做為參數，且在兌換HunnyToken時，使用的是固定兌換比例，這給了黑客發動攻擊的可乘之機。

黑客首先向hunnyMinter合約中打入了56個cake代幣；再同時調用CakeFilpValut合約中的getReward函數，間接觸發了hunnyMinter中的mintFor函數。

此時hunnyMinter合約中因存在黑客打入的cake，導致能夠兌換大量的HunnyToken；而此時的HunnyToken的價格，已經超過設定的固定值，這使得此處存在套利空間。后續黑客一直使用相同方法進行套利，直至項目方置零固定兌換比例hunnyPerProfitBNB。

三、事件復盤

不難看出，此次事件是又一次發生在BSC鏈上的仿盤項目的被黑事件。結合5月多起諸如Merlin、AutoSharkFinance等FORK項目被黑經歷來看，黑客針對BSC鏈上仿盤項目的攻擊態勢仍然在持續發酵。在此，成都鏈安提醒各大FORK項目尤其需要注重安全風險，加強安全防范工作，切勿懈怠。

同時，針對項目本身的開發和創新，我們建議開發者需要對原生項目進行深入理解，切勿一味地照搬和模仿；特別是在安全建設方面，在同步原生項目的安全防護策略之外，也需要聯動第三方安全公司的力量，建立一套獨立自主的安全風控體系，以應對各類突發的安全風險。

Tags：BELTUNNBELELTBELT幣Zombie RunnerBeluga.fiDeltaFi

比特幣交易