一、事情概览

北京时间6月3日11时11分，链必安-区块链安全态势感知渠道(Beosin-Eagle Eye)舆情监测显现，BSC链上项目PancakeHunny遭受黑客进犯。据统计，此次进犯事情中，黑客一共获利43ETH(算计10余万美元)。

面临又一起发生在BSC链上的项目被黑事情，成都链安·安全团队第一时间发起安全应急呼应，针对PancakeHunny被黑事情进行盯梢剖析，以提示BSC链上各大项目实在进步安全防备认识，警觉“黑色5月”阴云的继续笼罩 。

据了解，PancakeHunny是PancakeBunny的又一仿盘项目。在本次被黑事情中，黑客采纳的进犯办法大体上与此前进犯PancakeBunny近似，均是在短时间内增发很多的代币并抛向商场，并引起了HunnyToken币价暴降。

二、事情剖析

成都链安·安全团队针对被黑代码打开盯梢剖析，依据已发表的头绪和进犯买卖上来看，黑客主要是利用了HunnyMinter函数的规划缺点进行了进犯，如下图所示：

需求留意的是，mintFor函数用于将收取的手续费转化为HunnyToken并返还给用户;但在读取需求转化的手续费时，过错地运用了balanceOf做为参数，且在兑换HunnyToken时，运用的是固定兑换份额(其时为1 BNB：3200 HunnyToken)，这给了黑客发起进犯的待机而动。

黑客首先向hunnyMinter合约中打入了56个cake代币;再一起调用CakeFilpValut合约中的getReward函数，直接触发了hunnyMinter中的mintFor函数。

此刻hunnyMinter合约中因存在黑客打入的cake，导致可以兑换很多的HunnyToken;而此刻的HunnyToken的价格，现已超越设定的固定值，这使得此处存在套利空间。后续黑客一向运用相同办法进行套利，直至项目方置零固定兑换份额hunnyPerProfitBNB。

三、事情复盘

不难看出，此次事情是又一次发生在BSC链上的仿盘项目的被黑事情。结合5月多起比如Merlin、AutoSharkFinance等FORK项目被黑阅历来看，黑客针对BSC链上仿盘项目的进犯态势仍然在继续发酵。在此，成都链安提示各大FORK项目特别需求重视安全危险，加强安全防备作业，切勿松懈。

一起，针对项目自身的开发和立异，咱们主张开发者需求对原生项目进行深化了解，切勿一味地照搬和仿照;特别是在安全建造方面，在同步原生项目的安全防护战略之外，也需求联动第三方安全公司的力气，树立一套独当一面的安全风控系统，以应对各类突发的安全危险。

更多币圈相关资讯：

我国“熄火”比特币 虚拟钱银“挖矿”能斩草除根吗?

萨尔瓦多共和国 全球首个以比特币为法币的主权国家