【友财网外汇资讯】-8月19日，BSC上的收益聚合项目Pinecone Finance的保险库受到黑客攻击，损失约350万没PCT代币（市值约合20万美元）。

截至写稿时为止，项目方已经针对此次攻击中受损的用户发布了补偿计划：项目团队及投资人共持有491万枚代币，将用所有代币补偿用户。

尽管此次攻击受损的金额相对近期动辄千万、上亿美元的金额不算太大，但这起攻击事件还是给我们留下了值得吸取的经验和教训。

这次攻击出现漏洞的地方在于转账过程使用的代币有损耗，而合约对这个损耗没有处理好于是就导致漏洞出现从而被黑客攻击。

在正常状况下，用户之间转账（ERC-20等）代币的时候，如果代币在转账过程中没有损耗，处理起来是比较简单的。但如果某些代币在转账过程中会出现损耗，则处理这类代币的转账就要非常小心了。

在Pinecone项目中，其代币PCT是作为资金池的质押代币，在其合约设计的代币转账过程中会有手续费的损耗。而项目将这个损耗计入了用户的份额中，于是用户份额和质押的PCT总额就会出现偏差。这个偏差就能被攻击者用来领取多余的奖励。

在这里，PineconeToken的transferFrom的调用了_transfer()函数，在_transfer()中用户转账会收取手续费，因而实际到账的金额比transferFrom传入的 amount 值要小。

PineconeFarm将存入的PCT质押到IPineconeStrategy合约中获取收益。通过使用BSC的vm trace工具，可以发现这个IPineconeStrategy是一个VaultRabbitCake合约。PineconeFarm对用户份额share的计算会用到_wantAmt。而这个_wantAmt和下面的函数片段又有关联。

最后，当攻击者调用withdraw函数时，只要输入比deposit值大的参数就可以赎回超过质押数的PCT代币。

按照这个机制，黑客在攻击时，可以重复重复调用deposit和withdraw功能，从而导致合约质押的PCT损耗不断增加、资金池持有的PCT余额不断变小。然后在计算奖励时，由于使用资金池中的余额作为分母，而分母越小，则可额外领取的奖励就越多。

从这次攻击的漏洞原因看，在转账时有损耗的代币在参与收益类项目时，存在较多的问题。因此灵踪安全提醒项目方要充分考虑损耗对收益计算的影响。

对此类问题，灵踪安全一直以来都会在审计时特别和项目方强调。另外我们也再次强调审计在项目中的重要性，希望项目方在项目上线前充分做好审计工作。

（来源：巴比特）