BSC:BSC連環慘案_EFI

ETH交易手續費不斷升高，直至很多人無法接受，ETH用戶反轉到幣安智能鏈，平均每筆交易手續費低于0.3美元，憑借低廉的交易手續費和快速的交易效率，在市場中占領一席之地，數據的增長非常迅速，也推動了Defi的迅速發展。每次在幣安智能鏈交易，需要BNB作為支付交易手續費，根據Mytoken顯示，BNB在5月10日，市值達到了1000億美元，全球矚目，排在比特幣、以太坊之后，短暫的成為了市值第3的代幣。

幣安智能鏈火爆之后，也成為了黑客的溫床，幣安智能鏈不斷的發生資金被盜或是被套利的安全事件，BSC在5月份一共發生了12起安全事件，總共損失了超過2.7億美元。

SPARTANPROTOCOL?

我們從第一個說起，Spartan協議是一種基于幣安智能鏈的去中心化協議，用于激勵流動性和合成資產，由于該協議中的“流動性份額計算有缺陷”，在5月2日時候被套利，導致損失超過3000萬美元由鏈上分析和安全初創公司PeckShield發布。特別是，特定的黑客在銷毀相同數量的池子里的代幣，以索取大量資金之前，PeckShield?會放大池子里的資產余額。

攻擊者使用了6100萬美元的BNB來通過一個未知的漏洞路徑來攻破礦池，從礦池中移除大約3000萬美元的資金，”根據的官方SpartanProtocol推特賬戶，該公司于5月2日世界標準時間凌晨12:21左右首次報告了該事件。

安全團隊：BSC Token Hub跨鏈交易驗證方式存在漏洞:10月7日消息，據Beosin EagleEye平臺監測顯示，BSC Token Hub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值（指定塊：110217401）

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊（110217401）的提款證明

Beosin Trace正在對被盜資金進行實時追蹤。[2022/10/7 18:41:51]

SpartanProtocol的攻擊使其成為DeFi歷史上僅次于之前的EasyFi5900萬美元、UraniumFinance的5720萬美元、Kucoin的4500萬美元、AlphaFinance的3750萬美元和MeerkatFinance的3200萬美元。

pNetwork攻擊事后分析報告：黑客嘗試對多個pToken橋進行攻擊，僅對pBTC-on-BSC攻擊成功:9月22日消息，跨鏈協議pNetwork針對此前攻擊事件致277枚BTC被盜發布分析報告稱，pNetwork系統遭到黑客攻擊，該黑客對多個pToken網橋進行了攻擊，包括pBTC-on-BSC、TLOS-on-BSC、PNT-on-BSC、pBTC-on-ETH、TLOS-on-ETH和pSAFEMOON-on-ETH，不過，黑客僅在pBTC-on-BSC跨鏈橋上攻擊成功，并從pBTC-on-BSC抵押品中竊取了277枚BTC，其他pToken網橋不受影響且資金安全。另外，由于已將黑客地址報告給交易所，所以被盜資金當前仍然在黑客BTC地址上，未發生過轉移。

pNetwork目前正在為受此次攻擊影響的用戶制定一種賠償方案，還將為白帽引入漏洞賞金計劃。pNetwork表示，在重新啟動跨鏈橋之前，正在針對所有跨鏈橋詳細審查類似的潛在漏洞，當前已重啟pBTC-on-EOS、pBTC-on-Telos、pLTC-on-EOS、pUOS-on-Ultra跨鏈橋。[2021/9/22 16:56:55]

Venus

Ternoa即將推出實現BSC NFT與Polkadot生態系統跨鏈互操作性的橋接:據官方消息，基于NFT的去中心化數據傳輸區塊鏈Ternoa近期在推特上宣布，即將推出實現BSC NFT與Polkadot生態系統跨鏈互操作性的橋接，包括CAPS ERC20-BEP20以及Ternoa NFT-Binance NFT橋接。

據悉，Ternoa是基于NFT的去中心化數據傳輸區塊鏈，能夠長期存儲，加密和分段數據，使用戶可以根據可配置協議傳輸個人身份數據。[2021/6/6 23:16:08]

我們親眼目睹了BSC上的Venus協議管理代幣XVS價格被操縱，該事件導致2億多美元的DeFi清算和1億多美元的協議壞賬，數以百計的用戶遭受了損失和清算，這是團隊缺失造成的直接結果，在Binance交易所XVS代幣價格出現明顯操縱后，Venus協議系統允許了最大限度的借款，以致超過200?萬XVS被迫清算。

案件解析，在DAI價格預言事件之后，Compound保留了以前的清算量記錄。當時，Chainlink社區曾強烈批評CompoundOpenPriceFeed，但實際上即使使用Chainlink也進行了相同的操作。

受BSC鏈上Belt Finance攻擊事件影響 beltBUSD價格出現脫鉤:DeFi跨鏈收益聚合器Autofarm發推稱，我們注意到beltBUSD的價格下跌至脫鉤。belt4LP的autofarm vault運行正常，但用戶會發現自己的存款美元價值下降，因為標的資產的價格發生了變化。關于beltBUSD價格的更新，請咨詢Belt Finance官方。目前，我們沒有任何官方建議，但將繼續密切關注事件進展，并在獲得更多信息后及時更新。其他belt vaults也在正常運作（beltBTC、beltETH、beltBNB）。此前消息，Belt Finance遭到閃電貸攻擊。Belt Finance官方表示，beltBTC、beltETH、beltBNB已經恢復運作。[2021/5/30 22:56:17]

案件解析來源于IgorIgamberdiev的推特：https://twitter.com/FrankResearcher

預言機的價格幾乎翻了一番，這使得至少兩個Venus帳戶可以借入大量資產。目前尚不清楚Chainlink確切地從何處獲得XVS的價格數據，但鑒于基本上只有一個流動的市場，這無關緊要。

InsurAce推出多鏈服務，為BSC、Solana等網絡資產提供保險:去中心化保險InsurAce推出多鏈服務InsurAceMulti-chainv1.0，為包括以太坊、幣安智能鏈（BSC）、火幣生態鏈（HECO）、Solona、Polygon、Fantom等網絡生態提供保險，用戶可以使用ETH或ERC20穩定幣支付保金。官方表示將于6月推出v2.0，將在其他鏈上進行部署。[2021/5/24 22:38:44]

這個聰明的小偷，偷完資金之后，在Venus金星身上留下了8000萬美元的BTC壞賬，他們將永遠無法償還。他們所有的抵押品都已經清算，所以沒有人償還債務是沒有意義的。

他們從Binance撤出，并在高峰期使用了近100萬XVS作為抵押。從協議中，他們可以借入4.2kBTC，然后將其發送到BSC代幣交易中心。

人稱幣安的親兒子Venus，作為幣安智能鏈最重要的借貸平臺，發生了這么可怕的事件，對其平臺后期的運營造成了非常大的困擾。普通用戶受到的是最嚴厲創傷，受到傷害的用戶不斷在散播他們氣憤的種子，直到它們生根發芽或是直到它們被幸運消滅。

pancakebunny

案件解析，小偷在BSC上從BunnyFinance鑄造了價值超過$1B(1億美元)69.7萬個BUNNY代幣，導致$40M被盜：11.4萬個WBNB。因此，BUNNY價格從146美元跌至6美元。

(來源于pancakebunny推特)

小偷的行為如下：1）向“BUNNY”USDT-WBNBVault添加了少量資產。2）使用緊急貸款從7個PancakeSwap池中借入230萬BNB，并從ForTubeBank借入290萬USDT。

3）在PancakeSwap的USDT-WBNB池中增加了7.7kBNB和290萬USDT流動性，同時在該池中保留了LP代幣。4）通過此池將230萬BNB兌換為USDT。

5）使用第一步中的資產開采了700萬枚BUNNY，但由于PancakeSwap池中有額外的LP代幣，BunnyFinance認為利用者添加了大量BNB。6）售出480萬英鎊以換取230萬WBNB和290萬USDT，然后開始償還快速貸款。

根本原因是攻擊者可以操縱BUNNY薄荷糖價格。

攻擊者已經通過神經橋向以太坊提取了10.1kETH，另外還有1400萬美元在其BSC地址上。

被攻擊后的pancakebunny，其代幣BUNNY價格從最高的240美元，在短短的30分鐘之內跌至歸零，這幾天BUNNY價格一直穩住在20美元左右。

DeFi100

2021年5月23日，最為狂妄的小偷，偷走了3200萬美元，并在他們官網公布：「我們欺騙了你們，但你們做什麼都沒用了」。

DeFi100在他們Twitter更新聲明是黑客攻擊了他們，這么狂妄的言論也是黑客制造的，DeFi100?還提到他們在想辦法讓項目重啟。這一切，是真被盜，還是監守自盜，我們無法解析黑暗的一面。代幣跌至0.13美元，這些代幣失去了它的價值，人們無法再去相信這些項目。

ValueDeFi

1/8.5月7日大約有1100萬美元從非50/50池中被盜，此外由于合同重新初始化，本周已經損失了600萬美元，?讓我們看看發生什么了。

2/8.以下是被攻擊的16個池中的9個：

vBSWAP/WBNBgvVALUE/BUSD(98/2)BDO/BUSDvBSWAP/BUSD(98/2)

FARM/WBNB（70/30

RON/STEEL(60/40)BDO/vBSWAP(70/30)BAC/BUSD(80/20)BASv2/WBNB(60/40)

3/8.?被盜資金

15k-BNB

2.7k-FARM1.7k-BASv28.5M-BDO68.3k-BUSD

41.4k-MDG945k-VBOND1.2M-BAC11k-FIRO

這些代幣被交換到3.24k-anyETH并撤回以太坊。

(來源于BSC)

4/8.該漏洞利用看起來像這樣：1.首先，攻擊者發送少量第二個令牌來配對地址。2.進行交換，他們要提取少量的第一個令牌和大量的第二個令牌。

8/5.

3.于錯誤使用了Bancor公式，配對合約認為互換是成功的

4.攻擊者將同一池中的第一個令牌交換為第二個令牌，并重復此操作，直到漏洞利用程序允許為止。

8/6.由于Uniswap不支持資產比率不為50/50的池，因此BSC的ValueDeFi將Bancor公式用于非標準池。似乎一切都井井有條，有必要做幾次冪運算，但并非一切都那么簡單...

7/8.在力量()函數說明中，該函數不支持“_baseN”的情況<_baseD”，這就是漏洞利用的根本原因。由于一對中的第二個令牌的余額比交換之前少得多，因此此功能無法正常工作。

8/8.這并不是項目團隊在不深入了解其工作的情況下分叉其他人的代碼的第一次和最后一次。如果您漫不經心地將錢存入具有匿名開發人員或默默無聞的團隊的項目中，那么認為CZ會為您省錢是很愚蠢的。

神魚在之前也對ValueDeFi有過表示過項目被攻擊了6次，好心的告知，并未得到頭腦發熱的人領情。ValueDeFi在同一周內，資金被盜取兩次，讓它原本10億美元的鎖倉，在轉瞬間崩塌之后，TVL跌至2000萬美元，下降了80%。

遭受到重大的損失的用戶，獲得了輕微的補償，ReserveFund(2802.75vBSWAP)中的所有vBSWAP和來自ValueDeFi部署者的205,659BUSD將用于補償池中的所有用戶。剩余的4540vBSWAP將被鑄造，用于立即或分兩部分補償所有受影響的用戶。

5月24日pancakebunny仿盤AutoShark卷走了70萬美元之后，相隔一天又出現了一個仿盤，名叫Merlinlab，一天被攻擊兩次，重操AutoShark的舊業，卷走了680萬，這些騙局不斷寄生在幣安智能鏈上欺騙用戶。

騙局或黑客就會不斷的想盡辦法獲利，一波又一波的攻擊侵襲BSC，總共損失超過了3億美元，生態遭到嚴重的打擊，被傷害的用戶紛紛逃離，即使出現這種糟糕的情況，我依然相信他們能力挽狂瀾。

回到以太坊的Defi發展之初，同樣受到了很多攻擊，2020全年，以太坊的Defi項目總共損失了1.2億美元，由于DeFi是一種去中心化的交易機制，沒有任何監管機構，黑客頻繁攻擊的目的就是獲取高額回報，利益驅動的黑客行為。

Tags：BSCANCBNBEFIBscArmyCokeFinanceBNBDEVAL DEFI

比特幣交易所