PAN:PancakeHunny 攻击事件分析-ODAILY_bnb更新到哪了

前言

北京时间10月20日晚，知道创宇区块链安全实验室监测到BSC链上的DeFi协议PancakeHunny的WBNB/TUSD池遭遇闪电贷攻击，HUNNY代币价格闪崩。实验室第一时间跟踪本次事件并分析。

分析

Eight Roads Ventures任命前Coinbase Japan CEO为合伙人:6月22日消息，由富达投资支持Eight Roads Ventures任命前Coinbase Japan首席执行官Nao Kitazawa为合伙人。Kitazawa自2018年加入Coinbase以来一直负责Coinbase在日本的业务。此前，他还曾担任日本机器人咨询公司Money Design的首席运营官。[2023/6/22 21:54:19]

攻击者信息

攻击者：

0x731821D13414487ea46f1b485cFB267019917689

派盾：BNB Chain上项目VPANDA DAO发生Rug Pull:金色财经报道，据派盾监测，BNB Chain上项目VPANDA DAO发生Rug Pull，被黑资金约26.5万枚BUSD，目前已转入0x33d2开头地址。[2023/6/19 21:47:44]

攻击合约：

0xa5312796DC20ADd51E41a4034bF1Ed481b708e71

第一次攻击tx：

0x1b698231965b72f64d55c561634600b087154f71bc73fc775622a45112a94a77

前摩根大通银行家Samir Shah加入Pantera资本担任COO:金色财经消息，前摩根大通银行家Samir Shah出任Pantera Capital首席运营官，Shah在加入Pantera之前，曾在摩根大通任职12年，在销售、战略和数字领域担任职务。（Coindesk）[2022/7/5 1:51:29]

被攻击池信息

VaultStrategyAlpacaRabbit：0x27d4cA4bB855e435959295ec273FA16FE8CaEa14

VaultStrategyAlpacaRabbit：0xef43313e8218f25Fe63D5ae76D98182D7A4797CC

Pantera Capital创始人：比特币年初至今涨幅超过黄金:Pantera Capital创始人Dan Morehead发推称，比特币年初至今涨幅超过黄金。比特币诞生于金融危机中，它将在这个时代成熟。[2020/4/30]

攻击流程

攻击者从CreamFinance通过闪电贷获得53.25BTC

用53.25BTC从Venus借出2717107TUSD

在PancakeSwap上，用TUSD兑换BNB，抬高BNB价格

使用50个不同的钱包地址将38250TUSD存入HUNNYTUSDVault合约

赎回2842.16TUSD，并铸造12020.40HUNNY代币

以7.78WBNB的价格卖出HUNNY代币

50个钱包重复26次以上步骤

细节

VaultStrategyAlpacaRabbit合约池的_harvest()函数中，资产的兑换路由为ALPACA=>WBNB=>TUSD，而WBNB/TUSD池中流动性较低，易被操纵。

在巨额兑换后，抬高了WBNB对TUSD的价格，攻击者调用harvest()函数后，Vault合约的TUSD利润剧增，随后调用getReward()函数，通过30%的performanceFee手续费铸造HUNNY代币，只要铸造出的HUNNY代币价值超过30%的performanceFee手续费，就有利可图。

目前，PancakeHunny官方已采取紧急措施，暂停了TUSDVault合约的铸币。

总结

此次PancakeHunny遭遇的闪电贷攻击的本质原因在于底层资产兑换过程的价格易被操控，未做全面考虑和防护，从而使得攻击者通过巨额资金操纵某一交易对价格进行攻击套利。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：PANUSDTUSDBNBPanda Daousdm币是什么币TUSDB价格bnb更新到哪了

Coinw热门资讯