Un breve análisis del evento de piratería PancakeHunny en la cadena BSC

A las 11:11 del 3 de junio, hora de Beijing, el monitoreo de la opinión pública de Lianbian-Blockchain Security Situational Awareness Platform (Beosin-Eagle Eye) mostró que el proyecto de la cadena BSC PancakeHunny fue atacado por piratas informáticos. Según las estadísticas, en este ataque, los piratas informáticos obtuvieron una ganancia total de 43 ETH (un total de más de 100 000 dólares estadounidenses).

Ante la piratería de otro proyecto en la cadena BSC, el equipo de seguridad de Chengdu Lianan lanzó de inmediato una respuesta de emergencia de seguridad para rastrear y analizar el evento de piratería PancakeHunny para recordar a los principales proyectos en la cadena BSC que mejoren efectivamente las precauciones de seguridad. la continua nube de "Mayo Negro".

Se entiende que PancakeHunny es otro proyecto de plato de imitación de PancakeBunny. En este incidente de piratería, el método de ataque adoptado por los piratas informáticos es generalmente similar al ataque anterior a PancakeBunny. Todos emitieron una gran cantidad de tokens en un corto período de tiempo y los arrojaron al mercado, lo que provocó que el precio de HunnyToken subiera. plomada.

La Fundación TokenPocket planea unificar la propiedad de los tokens TPT de múltiples cadenas a la cadena BSC: el 13 de noviembre, la Fundación TokenPocket unificará la propiedad de su token de plataforma de billetera TPT de múltiples cadenas (ETH, Tron, Heco, OKC, EOS) a la cadena BSC. En la actualidad, la dirección número uno en las tenencias de TPT de la cadena BSC es la dirección del agujero negro, que representa el 41,2% del total de TPT, y todas ellas han sido destruidas. La dirección en segundo lugar es la dirección de atribución de múltiples cadenas de TPT (incluidos los TPT de todas las cadenas que no son BSC que aún no se han asignado), lo que representa el 26,2 % del total de TPT.

La Fundación TokenPocket afirmó que actualmente solo se reserva el TPT de la cadena BSC, y el TPT de otras cadenas ya no es negociable, y el TPT que no ha cruzado la cadena se procesa de manera oportuna. [2022/11/13 12:58:38]

Burning Star realizará una reunión de fans de William Chan y emitirá entradas NFT en BSC: La bebida deportiva y de fitness CELSIUS realizará una reunión de fans de William Chan en el Beijing Mocha Art Center a las 14:30 el 30 de abril, y las entradas VIP correspondientes se han emitido a través de el estándar 721 Para boletos NFT en BSC, puede ingresar a Bscscan a través del navegador blockchain y verificar la información detallada de acuerdo con el contrato inteligente y TokenID en la carta de invitación, [2021/4/29 21:11:31]

El equipo de seguridad de Chengdu Lianan realizó un análisis de seguimiento del código pirateado. De acuerdo con las pistas reveladas y las transacciones de ataque, el pirata informático utilizó principalmente el defecto de diseño de la función HunnyMinter para atacar, como se muestra en la siguiente figura:

Cocos-BCX y BSC han llegado a una cooperación en juegos de cadena de bloques y otros campos: según noticias oficiales, la plataforma de economía digital de juegos de próxima generación Cocos-BCX y Binance Smart Chain BSC anunciaron conjuntamente que las dos partes cooperarán en juegos de cadena de bloques, NFT y DeFi, etc. llegaron a una cooperación. En esta cooperación con BSC, Cocos-BCX ha lanzado la actividad de lanzamiento aéreo de caja ciega NFT y la actividad minera de Año Nuevo Ji Wufu, que ahora se lanza en el sitio web oficial de BSC. Además, Cocos-BCX ha iniciado la actividad de promotor en BSC. Para más detalles, consulte el anuncio oficial de Cocos-BCX. [2021/1/28 14:12:05]

Cabe señalar que la función mintFor se utiliza para convertir la tarifa cobrada en HunnyToken y devolverla al usuario; pero al leer la tarifa que debe convertirse, utiliza erróneamente balanceOf como parámetro, y al intercambiar HunnyToken, utilícelo. es una relación de intercambio fija (1 BNB: 3200 HunnyToken en ese momento), que les dio a los piratas informáticos la oportunidad de atacar.

El hacker primero inyectó 56 tokens de pastel en el contrato de cuteMinter; luego, al mismo tiempo, llamó a la función getReward en el contrato CakeFilpValut, lo que activó indirectamente la función mintFor en cuteMinter.

En este momento, debido a la torta pirateada en el contrato hunnyMinter, se puede intercambiar una gran cantidad de HunnyToken; y el precio de HunnyToken en este momento ha excedido el valor fijo establecido, lo que hace que haya lugar para el arbitraje aquí. Los piratas informáticos posteriores han estado utilizando el mismo método para llevar a cabo el arbitraje hasta que la parte del proyecto estableció la relación de intercambio fija de hunnyPerProfitBNB en cero.

No es difícil ver que este incidente es otro incidente de piratería del proyecto de disco de imitación en la cadena BSC. Combinado con la experiencia de piratería de múltiples proyectos FORK como Merlin y AutoSharkFinance en mayo, los piratas informáticos siguen atacando los proyectos de discos de imitación en la cadena BSC. Aquí, Chengdu Lianan recuerda a todos los principales proyectos de FORK que presten especial atención a los riesgos de seguridad, fortalezcan las precauciones de seguridad y no se descuiden.

Al mismo tiempo, para el desarrollo y la innovación del proyecto en sí, sugerimos que los desarrolladores deben tener un conocimiento profundo de los proyectos nativos y no copiar e imitar ciegamente; especialmente en términos de construcción de seguridad, además de sincronizar el estrategias de protección de seguridad de los proyectos nativos, también es necesario vincular el poder de las empresas de seguridad de terceros para establecer un sistema de control de riesgos de seguridad independiente para hacer frente a diversos riesgos de seguridad repentinos.

Tags：

cadena de bloques