SharkTeam独家分析丨Bunny同源攻击-PancakeHunny攻击事件分析

北京时间2021年6月3日，币安智能链（ BSC ）上的 DeFi 收益聚合器 PancakeHunny 遭遇攻击，代币价格出现闪崩。PancakeHunny项目是Fork了PancakeBunny的项目，也Fork了PancakeBunny之前的漏洞，且没有能及时修复。

SharkTeam第一时间对此事件进行了 攻击 分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、 事件分析

（1） 从攻击者用5.752 WBNB在通过CAKE-WBNB流动性池兑换了119.76 CAKE

（2） 攻击者将其中的一半59.88 CAKE用于流动性挖矿

（3） 其中，20个CAKE质押到Syrup 池中进行流动性挖矿，并通过复利产生收益

（4） 59.88 CAKE剩余的29.88以及复利收益兑换67.54WBNB-HUNNY LP Token。

（5） 将67.54 LP Token质押到HUNNY流动性池中进行挖矿

（6）调用CakeFlipVault合约中的getReward()函数进行取币，然后将币兑换成了4.57 WBNB。

（7）另外的一半59.88 CAKE同样经过以上步骤，获得了4.57 WBNB.

通过以上攻击步骤，发现PancakeHunny Fork了PancakeBunny的代码，同时也Fork了其漏洞，CakeFlipVault.sol（合约地址：0x12180BB36DdBce325b3be0c087d61Fce39b8f5A4）

HunnyMinter.sol（合约地址：0x109Ea28dbDea5E6ec126FbC8c33845DFe812a300）

二、安全建议

智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，为用户的数字资产安全和项目本身安全提供保障。

SharkTeam 作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面111项审计内容，全面保障智能合约安全。

SharkTeam为客户提供高级别的区块链安全服务，区块链安全专家团队7*24小时为智能合约提供全生命周期的安全保障，服务包括：VIP安全审计服务、VIP合规审计服务、安全事故应急响应等。

SharkTeam也提供自动化审计工具，自动化审计以云服务的方式为用户提供服务。运用符号执行、形式化验证等智能合约分析技术，满足开发者智能合约日常审计需求。

==