PancakeBunny:又一打脸现场:Fork Bunny的Merlin损失240ETH

妖怪已经从瓶子里跑出来了?我们剖析了PancakeBunny和AutoShark的闪电贷攻击原理和攻击者的链上转账记录,发现了MerlinLabs同源攻击的一些蛛丝马迹。

2021年5月20日,一群不知名的攻击者通过调用函数getReward()抬高LPtoken的价值,获得额外的价值4,500万美元的BUNNY奖励。5月25日,PeckShield「派盾」预警发现,ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源闪电贷攻击。

2021年5月26日,就在AutoSharkFinance遭到攻击24小时后,PeckShield「派盾」安全人员通过剖析PancakeBunny和AutoShark攻击原理和攻击者的链上转账记录,发现了ForkPancakeBunny的MerlinLabs遭到同源攻击。

美联储博斯蒂克:仍维持终端利率在5%-5.25%的观点不变:2月7日消息,美联储博斯蒂克在接受采访时表示,通胀放缓的情况将决定美联储何时暂停加息。他坚持认为终端利率为5.0%至5.25%。关于1月份的就业报告,他称这是一个很大的惊喜。不过这只是一个数据点,但如果这种强劲势头持续下去,就意味着经济放缓的幅度没有那么大,这将“转化为美联储加息的幅度超过他目前的预期”。而如果这个数据是一个反常现象(在六个月的时间内),那么他倾向于再稍微观察一下,没有必要影响政策的轨迹。[2023/2/8 11:53:33]

所有上述三次攻击都有两个类似特征,攻击者盯上了ForkPancakeBunny的收益聚合器;攻击者完成攻击后,通过Nerve跨链桥将它们分批次转换为ETH。

软银愿景基金第三财季亏损约49.92美元,投资亏损约55.26亿美元:2月7日消息,软银发布最新财报数据显示,软银愿景基金第三财季亏损6600.1亿日元(约合49.92亿美元),去年同期收益503.5亿日元(约合3.81亿美元)。第三季度愿景基金投资亏损7303.6亿日元(约合55.26亿美元)。

金色财经此前报道,2022年11月15日,软银已将其FTX投资减记为零,并声称,对FTX的投资不到1亿美元,而且仅占其1000亿美元愿景基金的很小一部分,对整个公司的股份价值不会产生实质性影响。[2023/2/7 11:51:52]

ZRX价格暴涨,今日涨幅达45.20%:根据币安交易平台数据显示,ZRX最新成交价格为人民币12.57元,24小时最高价达人民币15.23元,最低价格为人民币7.99元,24小时成交量3003.78BTC,涨幅45.20%。ZRX是一个以太坊上的去中心化交易的开源协议,以促进以太坊资产的去信任和低摩擦交易。[2018/1/9]

有意思的是,在PancakeBunny遭到攻击后,MerlinLabs也发文表示,Merlin通过检查Bunny攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin开发团队对此类攻击事件提出了解决方案,可以防止类似事件在Merlin身上发生。同时,Merlin强调用户的安全是他们的头等大事。

用比特币纳税!美国又一个州提交相关法案:近日,继美国亚利桑那州比特币纳税法案被参议院通过后,乔治亚州也有两位州参议员提出用比特币纳税的法案。据法案公开记录显示,这项措施如果落地,将调整州政府税务部的规定,允许其接受以比特币等加密货币支付政府税款以及各类许可证的费用。[2018/2/24]

然而,Bunny的不幸在Merlin的身上重演。Merlin「梅林」称它的定位是Bunny「兔子」的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程:

这一次,攻击者没有借闪电贷作为本金,而是将少量BNB存入PancakeSwap进行流动性挖矿,并获得相应的LPToken,Merlin的智能合约负责将攻击者的资产押入PancakeSwap,获取CAKE奖励,并将CAKE奖励直接到CAKE池中进行下一轮的复利;攻击者调用getReward()函数,这一步与BUNNY的漏洞同源,CAKE大量注入,使攻击者获得大量MERLIN的奖励,攻击者重复操作,最终共计获得4.9万MERLIN的奖励,攻击者抽离流动性后完成攻击。

随后,攻击者通过Nerve跨链桥将它们分批次转换为ETH,PeckShield「派盾」旗下的反态势感知系统CoinHolmes将持续监控转移的资产动态。

PeckShield「派盾」提示:ForkPancakeBunny的DeFi协议务必仔细检查自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构对同类攻击进行预防和监控,不要沦为下一个「不幸者」。

在这批BSCDeFi的浪潮上,如果DeFi协议开发者不提高对安全的重视度,不仅会将BSC的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。

从PancakeBunny接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在ForkBunny的DeFi协议上重复试验就能捞上可观的一笔。Fork的DeFi协议可能尚未成为Bunny挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地”。

世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。

毫无疑问,无论ForkBunny的DeFi协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

PEPE币数字人:数字人民币的破与立

所谓先破后立,数字人民币的破与立分别指向过去和未来,破的是悬而未决的现实痛点,立的则是日渐清晰的升维路径。“醉翁之意不在酒,在乎山水之间也.

[0:0ms0-3:235ms