事件概览

区块链安全平台监测显示，BSC链上项目PH遭遇黑客攻击。据统计，此次攻击事件中，黑客总共获利43ETH(合计10余万美元)。

面对又一起发生在BSC链上的项目被黑事件，作者第一时间启动安全应急响应，针对PH被黑事件进行跟踪分析，以提醒BSC链上各大项目切实提高安全防范意识，警惕“黑色5月”阴云的持续笼罩 。

据了解，PH是PB的又一仿盘项目。在本次被黑事件中，黑客采取的攻击手法大体上与此前攻击PB近似，均是在短时间内增发大量的代币并抛向市场，并引起了HT币价暴跌。

事件分析

作者针对被黑代码展开跟踪分析，根据已披露的线索和攻击交易上来看，黑客主要是利用了HM函数的设计缺陷进行了攻击，如下图所示：

需要注意的是，F函数用于将收取的手续费转化为HT并返还给用户;但在读取需要转换的手续费时，错误地使用了O做为参数，且在兑换HT时，使用的是固定兑换比例(当时为1 BNB：3200 HT)，这给了黑客发动攻击的可乘之机。

黑客首先向M合约中打入了56个代币;再同时调用CFV合约中的R函数，间接触发了M中的F函数。

此时M合约中因存在黑客打入的，导致能够兑换大量的HT;而此时的HT的价格，已经超过设定的固定值，这使得此处存在套利空间。后续黑客一直使用相同方法进行套利，直至项目方置零固定兑换比例PPBNB。

事件复盘

不难看出，此次事件是又一次发生在BSC链上的仿盘项目的被黑事件。结合5月多起诸如M、ASF等FORK项目被黑经历来看，黑客针对BSC链上仿盘项目的攻击态势仍然在持续发酵。在此，作者提醒各大FORK项目尤其需要注重安全风险，加强安全防范工作，切勿懈怠。

同时，针对项目本身的开发和创新，作者建议开发者需要对原生项目进行深入理解，切勿一味地照搬和模仿;特别是在安全建设方面，在同步原生项目的安全防护策略之外，也需要联动第三方安全的力量，建立一套独立自主的安全风控体系，以应对各类突发的安全风险。