北京时间6月3日11时11分,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC链上项目PancakeHunny遭遇黑客攻击。据统计,此次攻击事件中,黑客总共获利43ETH(合计10余万美元)。
面对又一起发生在BSC链上的项目被黑事件,成都链安·安全团队第一时间启动安全应急响应,针对PancakeHunny被黑事件进行跟踪分析,以提醒BSC链上各大项目切实提高安全防范意识,警惕“黑色5月”阴云的持续笼罩 。
据了解,PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事件中,黑客采取的攻击手法大体上与此前攻击PancakeBunny近似,均是在短时间内增发大量的代币并抛向市场,并引起了HunnyToken币价暴跌。
缅甸军政府提出网络安全法,寻求禁止使用VPN和数字货币:1月24日消息,缅甸军政府提出一项网络安全法,该法将禁止使用虚拟私人网络(VPN),违者将被处以监禁和/或罚款,这让数字权利组织担心进一步将该国与外部世界数字隔离的影响。
这份日期为1月13日的法案草案由军方交通运输部常务秘书Soe Thein签署,并将于1月28日之前征求意见。一旦通过,它将对VPN用户处以1年至3年监禁,以及高达500万缅甸元(约合2800美元)的罚款。
该法案还将禁止使用数字货币,处以6个月至1年的监禁,并处以高达500万缅甸元(约合2800美元)的罚款。此外,它还要求服务提供商根据要求向当局提供用户的个人信息,如姓名、地址和访问历史。此前类似的规定导致Telenor等电信运营商离开该地区。(The Register)[2022/1/24 9:09:23]
比特币网络难度上调8.33%至24.2T:据欧科云链链上大师数据显示,比特币网络在今日18时02分,区块高度713665迎来难度调整,全网难度上调8.33%至24.2T,为下半年新高,但仍低于5月中旬25.05T的历史高位。近一周平均出块时间缩短至8.85分钟。[2021/12/11 7:33:07]
成都链安·安全团队针对被黑代码展开跟踪分析,根据已披露的线索和攻击交易上来看,黑客主要是利用了HunnyMinter函数的设计缺陷进行了攻击,如下图所示:
美国波士顿联储与麻省理工学院合作研究央行数字货币项目:美国波士顿联邦储备银行(Federal Reserve Bank of Boston)与麻省理工学院(MIT)建立合作关系,以更好地理解数字货币的概念。美联储理事Lael Brainard在旧金山联邦储备银行发表讲话时表示,波士顿联储将与麻省理工学院的研究人员合作开展一个多年项目,开发并测试一种“假想的”央行数字货币(CBDC)用例。她说,数字货币给隐私和金融稳定带来了机遇,也带来了威胁,在建立CBDC的过程中,联储必须清楚地了解这两个方面。Brainard对比特币等加密货币,Facebook的Libra等稳定币以及中国的CBDC在全球越来越受欢迎表示担忧。她强调,这引发了“有关法律和监管保障、金融稳定和货币在社会中的作用”的问题。因此,她指出,如果美国想遏制其他货币带来的威胁,就必须应对这种情况,开发一种数字美元。(Cointelegraph)[2020/8/14]
需要注意的是,mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需要转换的手续费时,错误地使用了balanceOf做为参数,且在兑换HunnyToken时,使用的是固定兑换比例(当时为1 BNB:3200 HunnyToken),这给了黑客发动攻击的可乘之机。
黑客首先向hunnyMinter合约中打入了56个cake代币;再同时调用CakeFilpValut合约中的getReward函数,间接触发了hunnyMinter中的mintFor函数。
此时hunnyMinter合约中因存在黑客打入的cake,导致能够兑换大量的HunnyToken;而此时的HunnyToken的价格,已经超过设定的固定值,这使得此处存在套利空间。后续黑客一直使用相同方法进行套利,直至项目方置零固定兑换比例hunnyPerProfitBNB。
不难看出,此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如Merlin、AutoSharkFinance等FORK项目被黑经历来看,黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此,成都链安提醒各大FORK项目尤其需要注重安全风险,加强安全防范工作,切勿懈怠。
同时,针对项目本身的开发和创新,我们建议开发者需要对原生项目进行深入理解,切勿一味地照搬和模仿;特别是在安全建设方面,在同步原生项目的安全防护策略之外,也需要联动第三方安全公司的力量,建立一套独立自主的安全风控体系,以应对各类突发的安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。