北京時間6月3日11時11分，Beosin-EagleEye監(jiān)測到BSC鏈上的PancakeHunny項目遭受黑客攻擊，黑客共盜取價值超過10萬美元的43ETH。

成都鏈安·安全團隊立即啟動應急響應，跟蹤分析PancakeHunny被黑事件，并提醒BSC鏈上的項目加強安全防范意識，注意“黑色5月”陰影的持續(xù)影響。

PancakeHunny是PancakeBunny的仿盤項目，黑客的攻擊手法類似于之前攻擊PancakeBunny的方式，通過短時間內(nèi)增發(fā)代幣并拋售市場，導致HunnyToken幣價大幅下跌。

二、事件分析

成都鏈安·安全團隊對被黑代碼進行跟蹤分析，發(fā)現(xiàn)黑客主要利用HunnyMinter函數(shù)的設計缺陷進行攻擊。該函數(shù)用于將手續(xù)費轉(zhuǎn)化成HunnyToken，并以1BNB：3200HunnyToken的固定比例返還給用戶。黑客在mintFor函數(shù)中錯誤地使用了balanceOf在兌換HunnyToken時，使用的是固定比例，從而漏洞被利用。

黑客首先向hunnyMinter合約中打入56個cake代幣，再通過間接調(diào)用CakeFilpValut合約中的getReward函數(shù)，觸發(fā)hunnyMinter中的mintFor函數(shù)。黑客利用這一漏洞，迅速獲得大量HunnyToken，并利用價格差進行套利操作，直至項目方置零固定比例。

三、事件復盤

此次事件再次發(fā)生在BSC鏈上的仿盤項目被黑，結(jié)合5月多起類似事件，如Merlin、AutoSharkFinance等FORK項目被黑經(jīng)歷，黑客針對BSC鏈上仿盤項目的攻擊持續(xù)增加。因此，成都鏈安·安全團隊提醒各大FORK項目尤其需要關(guān)注安全風險，并加強安全防范工作。

同時，開發(fā)者需要深入了解原生項目，并不是盲目照搬和模仿。在安全建設方面，除了同步原生項目的安全防護策略，還需要借助第三方安全公司的力量，建立獨立自主的安全風控體系，應對各類突發(fā)安全風險。

熱點：EOS 項目