又一打脸现场:Fork Bunny的Merlin损失240ETH

妖怪已经从瓶子里跑出来了?我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录,发现了 Merlin Labs 同源攻击的一些蛛丝马迹。

2021 年 5 月 20 日,一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值,获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日,PeckShield「派盾」预警发现,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。

2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻击 24 小时后,PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录,发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。

美众议院农业委员会5月12日就FTX的“衍生品清算提案”举行听证会正在直播:5月12日消息,美众议院农业委员会5月12日就FTX的“衍生品清算提案”举行听证会正在直播,观看直播点击文末“原文链接”。[2022/5/12 3:11:46]

所有上述三次攻击都有两个类似特征,攻击者盯上了 Fork PancakeBunny 的收益聚合器;攻击者完成攻击后,通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH。

有意思的是,在 PancakeBunny 遭到攻击后,Merlin Labs 也发文表示,Merlin 通过检查 Bunny 攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin 开发团队对此类攻击事件提出了解决方案,可以防止类似事件在 Merlin 身上发生。同时,Merlin 强调用户的安全是他们的头等大事。

泰国财政部:加密货币交易的利润需要缴纳15%的资本利得税:1月6日消息,根据泰国财政部表示,加密货币交易的利润现在需要缴纳15%的资本利得税。根据曼谷邮报1月6日的报道,该部建议参与加密货币的人在今年报税时准确报告他们的收入。它没有具体说明这是否适用于未实现的收益。 新税将适用于投资者和矿业运营商,但加密资产交易所免征此类税。泰国一些最大的交易所隶属于银行和亿万富翁商业巨头。目前尚不清楚是否会对年度申报征税,或者政府是否会让交易所从源头上扣除。 (Be in Crypto)[2022/1/6 8:29:06]

然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程:

这一次,攻击者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿,并获得相应的 LP Token,Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap,获取 CAKE 奖励,并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利;攻击者调用 getReward() 函数,这一步与 BUNNY 的漏洞同源,CAKE 大量注入,使攻击者获得大量 MERLIN 的奖励,攻击者重复操作,最终共计获得 4.9 万 MERLIN 的奖励,攻击者抽离流动性后完成攻击。

随后,攻击者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。

在这批 BSC DeFi 的浪潮上,如果 DeFi 协议开发者不提高对安全的重视度,不仅会将 BSC 的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。

从 PancakeBunny 接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地” 。

世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。

毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

ADA姚前:以研究者身份解读央行数字货币(演讲实录)

原文标题:《中国证监会科技监管局局长姚前:以研究者身份解读央行数字货币》 5月29日-30日,国际金融论坛(IFF)2021春季会议在北京举行。此次会议的主题为“后疫情时代:全球治理与国际合作”。在论坛“数字货币与未来数字化转型”环节,中国证监会科技监管局局长姚前进行了分享。 以下为演讲实录: 大家好!很高兴参加本次研讨会。

欧易交易所圈外人永远看不懂的区块链行业三重价值

无论是币圈业内人还是传统领域圈外人,大凡关注区块链行业时间长了,都会经受一次次的灵魂拷问:区块链行业之于社会的核心价值到底是什么? 一方面,比特币、以太坊、FIL、CHIA等区块链项目挖矿算力之争愈演愈烈,能耗和环保问题不容小觑,圈外人无法理解投入大量电力去挖没有任何传统社会价值的加密货币意义是什么? 另一方面,区块链行业内各类项目层出不穷。

USDCS2F模型:预测2022比特币10万美金 5月被“打脸” 神奇会延续吗?

2019 年 3 月 22 日,推特分析师PlanB 发表了《用稀缺性为比特币价格建模》一文。自S2F模型发布两年多以来,比特币价格一直以较高的精确度跟踪着模型的预测价格。 (图片来源:推特@dan_pantera) S2F模型预测4月15日比特币价格会达到$62968,结果比特币价格于4月13日突破该预测值。

币安app官方下载最新版以太坊Gas费太高?6 大方法教你如何省Gas

?随着对以太坊的需求屡创新高,以太坊的 Gas 价格已经让人吞声忍泪。每天支付这么多 Gwei 可能减少你的收益,对于任何积极使用以太坊网络的加密用户来说,这可能是一个令人头疼的问题。 本文将探索了一些你可以采取的用于来降低和减少你的 Gas 费用的策略。? Gas 是以太坊的一个基本组件。

[0:0ms0-3:132ms