又一打脸现场:Fork Bunny的Merlin损失240ETH

妖怪已经从瓶子里跑出来了?我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录,发现了 Merlin Labs 同源攻击的一些蛛丝马迹。

2021 年 5 月 20 日,一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值,获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日,PeckShield「派盾」预警发现,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。

2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻击 24 小时后,PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录,发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。

所有上述三次攻击都有两个类似特征,攻击者盯上了 Fork PancakeBunny 的收益聚合器;攻击者完成攻击后,通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH。

NFTSTAR将开发及销售孙兴慜官方授权数字收藏品:11月17日消息,新加坡互联网企业第九城市(Nasdaq: NCTY,“九城”)今日宣布,旗下数字收藏品交易及社区平台NFTSTAR(www.nftstar.com)已经和韩国足球代表性人物及英超知名球星孙兴慜(Heung-Min Son)签定了独家授权协议,NFTSTAR将独家开发、销售及交易孙兴慜官方授权的数字收藏品。韩国及英超足球明星孙兴愍孙兴慜于2015年起效力于英超托特纳姆热刺足球俱乐部,该次转会使他成为史上最高价的亚洲球星。根据协议,孙兴慜将和NFTSTAR的创作团队及艺术家共同开发数字收藏品,包括视频、动画及其他数字艺术品等,记录孙兴慜职业生涯及个人成长的高光时刻。[2021/11/17 21:58:07]

有意思的是,在 PancakeBunny 遭到攻击后,Merlin Labs 也发文表示,Merlin 通过检查 Bunny 攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin 开发团队对此类攻击事件提出了解决方案,可以防止类似事件在 Merlin 身上发生。同时,Merlin 强调用户的安全是他们的头等大事。

然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程:

这一次,攻击者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿,并获得相应的 LP Token,Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap,获取 CAKE 奖励,并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利;攻击者调用 getReward() 函数,这一步与 BUNNY 的漏洞同源,CAKE 大量注入,使攻击者获得大量 MERLIN 的奖励,攻击者重复操作,最终共计获得 4.9 万 MERLIN 的奖励,攻击者抽离流动性后完成攻击。

随后,攻击者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。

在这批 BSC DeFi 的浪潮上,如果 DeFi 协议开发者不提高对安全的重视度,不仅会将 BSC 的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。

从 PancakeBunny 接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地” 。

世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。

毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

ETH解读 MakerDAO 的多链战略:如何选择 Layer 2 路线?

哪些 Layer 2 可在增长、敞口和安全性之间取得平衡,以保护 DAI 作为跨链稳定币的完整性? 原文标题:《读懂 MakerDAO 的多链战略和路线图,MakerDAO 会选择哪条 Layer2 路线?》 5 月 28 日,MakerDAO 核心单元推动者 Derek 发文《Maker 的多链战略和路线图》。

USDC比特币再次成为”庞氏局“?你们快跑 我垫后

狂人本着负责,专注,诚恳的态度用心写每一篇分析文章,特点鲜明,不做作,不浮夸! 本内容中的信息及数据来源于公开可获得资料,力求准确可靠,但对信息的准确性及完整性不做任何保证,本内容不构成投资建议,据此投资,责任自负。

ADA买了虚拟币却卖不出去 央视揭秘“百倍币”局

原标题:买了虚拟币却卖不出去!总台记者独家揭秘“百倍币”局 卖不掉的虚拟币 这并不是国家第一次这么大力度来监管虚拟币了。2013年,人民银行等5部委印发《关于防范比特币风险的通知》,禁止金融机构和支付机构开展比特币相关业务。

Ethereum新的DeFi“护照”可以实现非足额抵押加密货币贷款?

去中心化金融(DeFi)协议Arcx已经宣布推出Sapphire v3,这是一个DeFi 护照,允许加密货币用户在链上匿名建立和验证他们的信誉。 6月2日宣布的DeFi 护照将对用户进行0到1000分的评分,Arcx进一步表示,DeFi 护照“鼓励建立声誉,并为DeFi提供链上身份认证。

[0:15ms0-9:652ms