妖怪已经从瓶子里跑出来了?我们剖析了PancakeBunny和AutoShark的闪电贷攻击原理和攻击者的链上转账记录,发现了MerlinLabs同源攻击的一些蛛丝马迹。
2021年5月20日,一群不知名的攻击者通过调用函数getReward()抬高LPtoken的价值,获得额外的价值4,500万美元的BUNNY奖励。5月25日,PeckShield「派盾」预警发现,ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源闪电贷攻击。
2021年5月26日,就在AutoSharkFinance遭到攻击24小时后,PeckShield「派盾」安全人员通过剖析PancakeBunny和AutoShark攻击原理和攻击者的链上转账记录,发现了ForkPancakeBunny的MerlinLabs遭到同源攻击。
PeckShield:DeFi协议MerlinLabs遭到攻击,是PancakeBunny的又一同源攻击:5月26日消息,PeckShield“派盾”预警显示,DeFi收益聚合器MerlinLabs遭到攻击,此次攻击手法与5天前遭到闪电贷攻击的PancakeBunny的攻击手段相似,损失200ETH。[2021/5/26 22:46:25]
所有上述三次攻击都有两个类似特征,攻击者盯上了ForkPancakeBunny的收益聚合器;攻击者完成攻击后,通过Nerve跨链桥将它们分批次转换为ETH。
嘉楠科技面临又一起集体诉讼:嘉楠科技面临又一起集体诉讼。律师事务所Rosen代表嘉楠股票投资者对嘉楠科技首次公开募股(IPO)提起了诉讼。该律师事务所声称,由于在IPO过程中未能披露许多问题,导致投资者因其虚假和误导性陈述而蒙受了损失。(Cointelegraph)[2020/3/5]
有意思的是,在PancakeBunny遭到攻击后,MerlinLabs也发文表示,Merlin通过检查Bunny攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin开发团队对此类攻击事件提出了解决方案,可以防止类似事件在Merlin身上发生。同时,Merlin强调用户的安全是他们的头等大事。
动态 | 又一推特粉丝过万分析师的加密视频被YouTube删除:拥有1.35万粉丝的加密货币分析师The Moon今日发推称,自己也已经受到“YouTube删除加密视频”风波的影响。其于2019年1月27日发布的一段视频现已显示“违规”,因为它被定性为“有害和危险的内容”。他表示:“可不嘛,比特币对银行来说就是有害和危险的,但删视频这事可真是够荒谬的。”目前该事件已愈演愈烈,多位业内大V都对YouTube此举表达了不满。[2019/12/25]
动态 | 彭博社:跌破又一个关键支撑位后,BTC触及6个月以来低点:本周五,比特币的抛售进一步加剧,使其跌至今年5月以来的最低点。而比特币此前已经跌破了又一个关键支撑位。作为全球交易量最大的加密货币,比特币一度下跌11%,最低至6798美元,随后收复了部分失地。以太坊和莱特币等其他主流币也同步大幅下跌。自今年4月以来,比特币首次在跌破200日移动均线后未发生反弹,这是一个信号,表明交易者认为目前比特币暴跌是市场疲软的信号,而不是买入的机会。Greenspan等分析师表示,有传言称,比特币矿工在市场下跌时一直在抛售。(彭博社)[2019/11/23]
然而,Bunny的不幸在Merlin的身上重演。Merlin「梅林」称它的定位是Bunny「兔子」的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。
PeckShield「派盾」简述攻击过程:
这一次,攻击者没有借闪电贷作为本金,而是将少量BNB存入PancakeSwap进行流动性挖矿,并获得相应的LPToken,Merlin的智能合约负责将攻击者的资产押入PancakeSwap,获取CAKE奖励,并将CAKE奖励直接到CAKE池中进行下一轮的复利;攻击者调用getReward()函数,这一步与BUNNY的漏洞同源,CAKE大量注入,使攻击者获得大量MERLIN的奖励,攻击者重复操作,最终共计获得4.9万MERLIN的奖励,攻击者抽离流动性后完成攻击。
随后,攻击者通过Nerve跨链桥将它们分批次转换为ETH,PeckShield「派盾」旗下的反态势感知系统CoinHolmes将持续监控转移的资产动态。
PeckShield「派盾」提示:ForkPancakeBunny的DeFi协议务必仔细检查自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构对同类攻击进行预防和监控,不要沦为下一个「不幸者」。
在这批BSCDeFi的浪潮上,如果DeFi协议开发者不提高对安全的重视度,不仅会将BSC的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。
从PancakeBunny接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在ForkBunny的DeFi协议上重复试验就能捞上可观的一笔。Fork的DeFi协议可能尚未成为Bunny挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地”。
世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。
毫无疑问,无论ForkBunny的DeFi协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。