BUN:又一打脸现场:Fork Bunny的Merlin损失240ETH

妖怪已经从瓶子里跑出来了?我们剖析了PancakeBunny和AutoShark的闪电贷攻击原理和攻击者的链上转账记录,发现了MerlinLabs同源攻击的一些蛛丝马迹。

2021年5月20日,一群不知名的攻击者通过调用函数getReward()抬高LPtoken的价值,获得额外的价值4,500万美元的BUNNY奖励。5月25日,PeckShield「派盾」预警发现,ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源闪电贷攻击。

2021年5月26日,就在AutoSharkFinance遭到攻击24小时后,PeckShield「派盾」安全人员通过剖析PancakeBunny和AutoShark攻击原理和攻击者的链上转账记录,发现了ForkPancakeBunny的MerlinLabs遭到同源攻击。

动态 | 腾讯Q2财报:受5G、人工智能和区块链技术成熟等利好因素,金融科技将迎来又一战略机遇期:腾讯发布Q2财报,在第二季度中,腾讯在金融科技方面动作频频。6月19日,腾讯发布了两项重要人事任命,正式敲定了香港虚拟银行董事长和金融科技板块的两位新负责人——赖智明和林海峰。据腾讯方面表示,受5G、人工智能和区块链技术成熟、粤港澳大湾区规划出台等众多利好因素带动,金融科技2019年迎来发展的又一战略机遇期,新任负责人将带领腾讯金融科技拥抱新机遇。[2019/8/15]

所有上述三次攻击都有两个类似特征,攻击者盯上了ForkPancakeBunny的收益聚合器;攻击者完成攻击后,通过Nerve跨链桥将它们分批次转换为ETH。

分析 | 又一POWH3D山寨合约大火 高额手续费模式存疑:据第三方大数据评级机构RatingToken分析,熊市行情低迷,特别是ETH的反弹更是软弱无力,投资机会稀缺,造成Fomo3D和POWH3D的山寨层出不穷,不过大都昙花一现。DailyDivs自9月2日上线以来交易量和交易金额稳步增长。研究人员深入研究合约代码发现DailyDivs与之前的爆款游戏最大区别在于以下几点:

1、买和卖的手续费分红高达25%,相比POWH3D的10%提高了很多;

2、使用三层推荐体系,推荐费用分配比例为5:3:2;

3、DailyDivs是个游戏平台并且公开合约代码,但是实际进行的Earn Game和Lotto Game游戏合约代码是没有公开,RatingToken团队提示玩家注意资金风险。详情见原文链接。[2018/9/4]

金色财经现场报道 现代密码学之父:近几年是密码学的又一次复兴:金色财经现场报道,今日在Coindesk 2018共识会议上,现代密码学之父,图灵奖得主,Cryptic Labs首席科学家Whitfield Diffie表示,最近几年是密码学的又一次复兴,区块链是密码学方面的重新对焦。他表示喜欢“引入市场力量”的说法, 从市场力量的角度看待密码学的发展可能是最好的。Diffie还称赞了比特币创始人Satoshi,他说:“多年来密码学领域的许多人都想到如何发展金钱技术,在Satoshi之前没有人取得成功。”[2018/5/15]

有意思的是,在PancakeBunny遭到攻击后,MerlinLabs也发文表示,Merlin通过检查Bunny攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin开发团队对此类攻击事件提出了解决方案,可以防止类似事件在Merlin身上发生。同时,Merlin强调用户的安全是他们的头等大事。

北卡罗来纳州向又一家在美国出售未注册证券的加密货币公司发出停止令:3月2日,自两月前对Bitconnect签署了停止令后,北卡罗来纳州国务卿证券部对欧洲加密货币公司PowerMining Pool发布了临时停止令,该公司同样被认为在美国出售未经注册的证券。据官方文件,PowerMining Pool采用了有问题的销售策略,其在北卡罗来纳州的活动违反了国家的“证券法”,其商业行为“直接威胁,并造成无法挽回的公共伤害”。PMP声称为比特币出售“股份”,并代表其股东挖掘七种不同的加密货币。该公司的北卡罗来纳州分支机构还使用了一系列方法来推销这一销售,其中包括在社交媒体平台YouTube,Facebook,Instagram,甚至是本地渠道发布广告,向投资者许以高额回报。[2018/3/7]

然而,Bunny的不幸在Merlin的身上重演。Merlin「梅林」称它的定位是Bunny「兔子」的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程:

这一次,攻击者没有借闪电贷作为本金,而是将少量BNB存入PancakeSwap进行流动性挖矿,并获得相应的LPToken,Merlin的智能合约负责将攻击者的资产押入PancakeSwap,获取CAKE奖励,并将CAKE奖励直接到CAKE池中进行下一轮的复利;攻击者调用getReward()函数,这一步与BUNNY的漏洞同源,CAKE大量注入,使攻击者获得大量MERLIN的奖励,攻击者重复操作,最终共计获得4.9万MERLIN的奖励,攻击者抽离流动性后完成攻击。

随后,攻击者通过Nerve跨链桥将它们分批次转换为ETH,PeckShield「派盾」旗下的反态势感知系统CoinHolmes将持续监控转移的资产动态。

PeckShield「派盾」提示:ForkPancakeBunny的DeFi协议务必仔细检查自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构对同类攻击进行预防和监控,不要沦为下一个「不幸者」。

在这批BSCDeFi的浪潮上,如果DeFi协议开发者不提高对安全的重视度,不仅会将BSC的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。

从PancakeBunny接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在ForkBunny的DeFi协议上重复试验就能捞上可观的一笔。Fork的DeFi协议可能尚未成为Bunny挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地”。

世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。

毫无疑问,无论ForkBunny的DeFi协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:84ms