前言
8月25日,知道创宇区块链安全实验室监测到BSC链上的DeFi协议DotFinance遭遇闪电贷袭击,价值跌落近35%。实验室第一时间跟踪本次事件并分析。
涉及对象
黑客地址:
0xDFD78a977c08221822F6699AD933869Da6d9720C
Kine将上线FIL和DOT交易,支持最高20倍杠杆:4月2日消息,DeFi衍生品交易所Kine现已上线FIL和DOT交易,支持最高20倍杠杆。[2021/4/2 19:40:50]
攻击合约地址:
0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
受害合约地址:
0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
数据:295万DOT参与火币DOT 锁仓赚币:据官方数据,截止11月30日18时,已有295万DOT参与火币全球站DOT 锁仓赚币活动。
此外,已有1.019亿HBAR参与火币全球站HBAR锁仓赚币活动。[2020/11/30 22:35:51]
攻击涉及主要函数分析
分析交易哈希
0x68170a309ab2e944e178ccf9bf6f19e25a3f356031ce53539bb9669fc77172f2
swap函数
Polkadot:波卡适合企业级应用 Kusama适合早期初创项目:公链项目波卡Polkadot撰文介绍Kusama与波卡两个项目的具体区别,Kusama和波卡是两个独立的网络,但都是基于类似的代码库建立,Kusama拥有更快的治理参数和进入门槛,而波卡相对更保守,以更慢和更有条理的治理和升级过程来优先考虑稳定性和可靠性。Kusama更适合进行大胆的实验和早期的部署,而波卡是为了高价值和风险规避的应用程序所设计的。从具体的用户案例来说,波卡认为,推荐企业级或B2B应用、金融应用或需要银行级别安全性、稳定性和健壮性的高价值应用在波卡网络中运行,推荐早期的初创网络、实验性想法在Kusama网络中运行。[2020/4/17]
1.整个交易都始于PancakePairswap函数
2.为攻击提供资金支持
getreward函数
1.使用balanceOf(address(this))获取CAKE代币余额
2.通过CAKE代币余额来铸造奖励
简要过程及原理分析
1.黑客使用PancakeSwap闪电贷获得初始资金100Cake代币;
2.通过将Cake代币打入VaultPinkBNB合约,来影响getReward函数获取合约Cake代币真实值,同时performanceFee参数受Cake代币真实值影响数值巨大;
3.最后mintFor函数使用受影响的performanceFee参数向黑客铸造大量pink代币奖励;
总结
此次攻击属于PancakeBunny同类型的攻击事件,迄今为止此类攻击事件已发生多次,知道创宇区块链安全实验室再次提醒,近期BSC链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。