前言
北京时间10月20日晚,知道创宇区块链安全实验室监测到BSC链上的DeFi协议PancakeHunny的WBNB/TUSD池遭遇闪电贷攻击,HUNNY代币价格闪崩。实验室第一时间跟踪本次事件并分析。
分析
FTX Japan已通知客户确认账户余额,计划本月归还资产:金色财经报道,FTX Japan官方发文称,已通过邮件通知客户确认其账户余额,客户需要通过另一家交易平台Liquid Japan完成资产转移,在准备工作完成后,将第一时间通知客户具体的提款时间。
根据FTX Japan去年12月公布的还款计划,该交易所将于本月向用户归还资产。如果一切顺利,FTX Japan将成为FTX旗下首家向用户归还资产的子公司。[2023/2/18 12:14:06]
攻击者信息
攻击者:
0x731821D13414487ea46f1b485cFB267019917689
攻击合约:
0xa5312796DC20ADd51E41a4034bF1Ed481b708e71
动态 | 受母公司系统牵连被盗 BitpointCEO明日与Bitpoint Japan恰谈赔偿事宜:BitpointCEO郭雅宁于7月31日就本月12日发生的Bitpoint Japan被盗事件表示:“如果不能保证赔偿,将立即提起诉讼。”受被盗事件影响,Bitpoint已于7月23日停止服务,再次开放的时间目前还未定,并且用户的资金也不能取出。郭雅宁计划8月1日与Bitpoint Japan的社长小田玄纪会面,以要求赔偿。郭雅宁表示:“要求赔偿的不是Bitpoint Japan被盗的部分,而是向方面赔偿价值6亿台币的加密货币和1.5亿美元的法币。” 据相关人士表示,Bitpoint Japan和Bitpoint使用的是同一个系统,Bitpoint于4月底被盗,当时要求日本那边改善系统,而系统始终没有被改善。(Cointelegraph)[2019/7/31]
第一次攻击tx:
动态 | Bitpanda 推出的加密货币卡将包含EOS:据引力观察报报道,Bitpanda 推出的加密货币卡将包含EOS。Bitpanda 是欧洲领先的买卖数字货币的零售代理商,拥有超过90万个用户。[2018/12/21]
0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77
被攻击池信息
VaultStrategyAlpacaRabbit:0x27d4cA4bB855e435959295ec273FA16FE8CaEa14
VaultStrategyAlpacaRabbit:0xef43313e8218f25Fe63D5ae76D98182D7A4797CC
攻击流程
声音 | Pantera Capital:SEC的决定或导致ICO项目退还投资者资金:据彭博社报道,Pantera Capital Management表示,其ICO基金投资的区块链和数字货币项目中,约有25%可能违反了美国证券法,并可能不得不向投资者退还资金。Pantera CEO Dan Morehead和联合首席投资官Joey Pantera称:“虽然我们认为我们投资组合中绝大多数项目不会受到影响,但我们基金资本中约有25%投资在不适用法规D或法规S的情况下出售给美国投资者。如果这些项目被认为是证券,SEC的立场可能会对他们造成不利影响。”[2018/12/14]
攻击者从CreamFinance通过闪电贷获得53.25BTC
用53.25BTC从Venus借出2717107TUSD
在PancakeSwap上,用TUSD兑换BNB,抬高BNB价格
使用50个不同的钱包地址将38250TUSD存入HUNNYTUSDVault合约
赎回2842.16TUSD,并铸造12020.40HUNNY代币
以7.78WBNB的价格卖出HUNNY代币
50个钱包重复26次以上步骤
细节
VaultStrategyAlpacaRabbit合约池的_harvest()函数中,资产的兑换路由为ALPACA=>WBNB=>TUSD,而WBNB/TUSD池中流动性较低,易被操纵。
在巨额兑换后,抬高了WBNB对TUSD的价格,攻击者调用harvest()函数后,Vault合约的TUSD利润剧增,随后调用getReward()函数,通过30%的performanceFee手续费铸造HUNNY代币,只要铸造出的HUNNY代币价值超过30%的performanceFee手续费,就有利可图。
目前,PancakeHunny官方已采取紧急措施,暂停了TUSDVault合约的铸币。
总结
此次PancakeHunny遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控,未做全面考虑和防护,从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
12月15日,DoraFactoryCommunityGrantRound2在DoraHacks开发者激励平台HackerLink正式落幕.
1900/1/1 0:00:00币安发布的官方公告《关于下架C2CCNY交易区及地区用户清查的通知》,表示币安C2C将于2021年12月31日24:00(东八区时间)下架CNY交易区。同时,币安将对平台用户进行清查。这一消息又让币圈轰动了一下.
1900/1/1 0:00:00近期在技术领域及金融领域中出现了一种新的概念,即defi,这种被译作去中心化金融的技术概念与当今比较流行的区块链有很高的契合度。当问到defi什么是趋势时,懂技术的人员会拿当今区块链在各个领域的发展状态作为类比.
1900/1/1 0:00:00导读: 在当前的加密生态系统中,每天都会涌现出许多DAO,但大多数DAO还没有能力应对他们所面临的挑战。有一些成熟的DAO走的相对较远,为社区和股东提供定期报告以供分析和了解,但这不是常态.
1900/1/1 0:00:00非同质化代币现在在去中心化资产市场上大行其道,以其价格和–更重要的是–内在价值的面纱,被归结为新的数字世界中艺术的渐进表现形式.
1900/1/1 0:00:00相信大家对Web3.0这个词一点也不陌生了,但是近期推出的Estuary存储是什么呢?这两者又有什么区别呢?以下就为大家简单介绍一下这两者的相关内容以及他们的区别所在: Estuary存储 Estuary是开发人员将其存储自动操作到I.
1900/1/1 0:00:00
宇宙链