UNN:代幣閃崩，差點歸零 - PancakeBunny 被黑簡析_RBUNNY價格

By：Kong@慢霧安全團隊

據慢霧區情報，幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

攻擊過程分析

1.攻擊者先發起一筆交易，使用0.5個WBNB與約189個USDT在PancakeSwap中添加流動性并獲取對應的LP，隨后將LP抵押至PancakeBunny項目的VaultFlipToFlip合約中。

4月17個代幣計劃解鎖，總金額達3.3億美元:金色財經報道，Token Unlocks數據顯示，4月計劃解鎖代幣數量達到17個，將釋放價值超過3.3億美元進入流通市場，其中BIT、APECoin ( APE ) 和 Aptos ( APT ) 預計是本月規模最大的三個解鎖項目，BIT 將于 4 月 15 日解鎖187,500,000.32 枚代幣，按當前價格計算約合9600萬美元，APE緊隨其后，4 月 17 日將解鎖1500 萬個代幣，占項目總供應量的 1.56%，價值超過 6600 萬美元。APT 計劃在 4 月 12 日解鎖450萬枚代幣，約合5200萬美元。

其他解鎖的項目代幣包括1inch（1INCH）、Galxe（GAL）、Tornado Cash ( TORN ) 、Moonbeam ( GLMR )、DyDx ( DYDX )、Euler ( EUL )、Sweat Economy ( SWEAT ) 和 NYM ( NYM )、Axie Infinity ( AXIE )、Immutable X ( IMX ) 、Acala ( ACA )、Ronin (RON)、X2Y2 (X2Y2) 和 Yield Guild Games ( YGG )。（cryptoslate）[2023/4/3 13:42:36]

2.在LP抵押完成后，攻擊者再次發起另一筆交易，在這筆交易中攻擊者先從PancakeSwap的多個流動性池子中閃電貸借出巨量的WBNB代幣，并從Fortube項目的閃電貸模塊借出一定數量的USDT代幣。隨后使用借來的全部USDT代幣與部分WBNB代幣在PancakeSwap的WBNB-USDT池子添加流動性，并把獲得的LP留在WBNB-USDT池子中。

Tezos基金會與Liquefy合作進行房地產代幣化交易:Tezos基金會宣布與香港金融科技公司Liquefy合作，Liquefy將為Tezos區塊鏈的數字證券項目實施安全代幣標準，然后進行房地產代幣化交易。（CryptoPotato）[2020/3/17]

3.由于在步驟1攻擊者已經在VaultFlipToFlip合約中進行了抵押，因此攻擊者在添加完流動性后直接調用VaultFlipToFlip合約的getReward函數來獲取BUNNY代幣獎勵并取回先前抵押的流動性。

4.在進行getReward操作時，其會調用BunnyMinterV2合約的mintForV2函數來為調用者鑄造BUNNY代幣獎勵。

公告 | NEO 3.0將作為新區塊鏈網絡推出 用戶需換新代幣:據Cointelegraph消息，4月29日，NEO官方發布公告稱，NEO 3.0將作為一個新的區塊鏈網絡推出，用戶需要將他們現有的代幣換成新代幣。NEO聯合創始人兼核心開發人員Erik Zhang表示，推出新的區塊鏈是必要的，因為隨后將對NEO性能和穩定性的幾項架構改進與目前的區塊鏈不兼容。據悉，之后所有數據和事務記錄將遷移到NEO 3.0，開發分支也將在主網啟動之前到位。[2019/4/29]

5.在mintForV2操作中，其會先將一定量(performanceFee)的LP轉至WBNB-USDT池子中移除流動性，但由于在步驟2中攻擊者把大量的LP留在了池子中，因此BunnyMinterV2合約將會收到大量的WBNB代幣與USDT代幣。

聲音 | 臺灣“立法委員”：證券業要研議證券型代幣的募集發行規范:據臺灣經濟日報消息，臺灣“立法委員”顧立雄就19年的工作重點發表講話，表示證券業要研議證券型代幣的募集發行規范。[2019/1/24]

6.在完成移除流動性后會調用zapBSC合約的zapInToken函數分別把步驟5中收到的WBNB與USDT代幣轉入zapBSC合約中。

7.而在zapInToken操作中，其會在PancakeSwap的WBNB-USDT池子中把轉入的USDT兌換成WBNB。隨后再將合約中半數WBNB在PancakeSwap的WBNB-BUNNY池子中兌換成BUNNY代幣，并將得到的BUNNY代幣與剩余的WBNB代幣在WBNB-BUNNY池子中添加流動性獲得LP，并將此LP轉至mintForV2合約中。而由于步驟5中接收到的非預期的大量的WBNB，并且進行WBNB兌換成BUNNY代幣的操作，因此WBNB-BUNNY池子中的WBNB數量會大量增加。

8.在完成zapInToken操作后會計算BunnyMinterV2合約當前收到的WBNB-BUNNYLP數量，并將其返回給mintForV2。隨后將會調用PriceCalculatorBSCV1合約的valueOfAsset函數來計算這些LP的價值，這里計算價值將會以BNB結算(即單個LP價值多少個BNB)。

9.在valueOfAsset計算中，其使用了WBNB-BUNNY池子中WBNB實時的數量乘2再除以WBNB-BUNNYLP總數量來計算單個LP的價值(valueInBNB)。但經過步驟7，我們可以發現WBNB-BUNNY池子中的WBNB非預期的數量大量變多了，這就導致了在計算單個LP的價值會使得其相對BNB的價格變得非常高。

10.隨后在mintForV2中，合約會以在步驟9中計算出的LP價值來通過amountBunnyToMint函數計算需要給攻擊者鑄造多少BUNNY代幣。但由于價格計算方式的缺陷導致最終LP的價格被攻擊者惡意的操控抬高了，這就導致了BunnyMinterV2合約最終給攻擊者鑄造了大量的BUNNY代幣(約697萬枚)。

11.在拿到BUNNY代幣后，攻擊者將其分批賣出成WBNB與USDT以歸還閃電貸。完成整個攻擊后拿錢走人。

總結

這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。

慢霧安全團隊建議，在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊研究的LP價格計算方式，以避免被惡意操控的事故再次發生。

Tags：BNBBUNBUNNYUNNbnb還有希望嗎bunny幣價格怎么掉那么厲害RBUNNY價格Bloody Bunny

DOT