BSC链项目PancakeHunny再遭黑客攻击

北京时间6月3日11时11分，Beosin-EagleEye监测到BSC链上的PancakeHunny项目遭受黑客攻击，黑客共盗取价值超过10万美元的43ETH。

成都链安·安全团队立即启动应急响应，跟踪分析PancakeHunny被黑事件，并提醒BSC链上的项目加强安全防范意识，注意“黑色5月”阴影的持续影响。

PancakeHunny是PancakeBunny的仿盘项目，黑客的攻击手法类似于之前攻击PancakeBunny的方式，通过短时间内增发代币并抛售市场，导致HunnyToken币价大幅下跌。

二、事件分析

成都链安·安全团队对被黑代码进行跟踪分析，发现黑客主要利用HunnyMinter函数的设计缺陷进行攻击。该函数用于将手续费转化成HunnyToken，并以1BNB：3200HunnyToken的固定比例返还给用户。黑客在mintFor函数中错误地使用了balanceOf在兑换HunnyToken时，使用的是固定比例，从而漏洞被利用。

黑客首先向hunnyMinter合约中打入56个cake代币，再通过间接调用CakeFilpValut合约中的getReward函数，触发hunnyMinter中的mintFor函数。黑客利用这一漏洞，迅速获得大量HunnyToken，并利用价格差进行套利操作，直至项目方置零固定比例。

三、事件复盘

此次事件再次发生在BSC链上的仿盘项目被黑，结合5月多起类似事件，如Merlin、AutoSharkFinance等FORK项目被黑经历，黑客针对BSC链上仿盘项目的攻击持续增加。因此，成都链安·安全团队提醒各大FORK项目尤其需要关注安全风险，并加强安全防范工作。

同时，开发者需要深入了解原生项目，并不是盲目照搬和模仿。在安全建设方面，除了同步原生项目的安全防护策略，还需要借助第三方安全公司的力量，建立独立自主的安全风控体系，应对各类突发安全风险。

热点：EOS 项目