链资讯 链资讯
Ctrl+D收藏链资讯
首页 > USDC > 正文

又一打脸现场:Fork Bunny的Merlin损失240ETH

作者:

时间:

妖怪已经从瓶子里跑出来了?我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录,发现了 Merlin Labs 同源攻击的一些蛛丝马迹。

2021 年 5 月 20 日,一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值,获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日,PeckShield「派盾」预警发现,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。

2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻击 24 小时后,PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录,发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。

苏宁易购:线下渠道已参与苏州、深圳的数字化货币试点:针对有投资者在投资者互动平台提问“苏宁APP当前是否支持央行数字货币的支付渠道”。苏宁易购3月3日表示,公司线下渠道中,已参与苏州、深圳的数字化货币试点,上海、成都也已签约。线上渠道及线下其他城市,公司正在积极推进中。(每日经济新闻)[2021/3/4 18:13:03]

所有上述三次攻击都有两个类似特征,攻击者盯上了 Fork PancakeBunny 的收益聚合器;攻击者完成攻击后,通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH。

OKEx永续合约将于今日16:00上调DOGEUSDT合约的资金费率上限:据官方公告,为保证永续合约更好的锚定现货指数价格,OKEx永续合约将于2021年1月29日16:00上调DOGEUSDT合约的资金费率上限(调整后费率最早收取的结算时间点是1月30日8:00)。[2021/1/29 14:18:56]

有意思的是,在 PancakeBunny 遭到攻击后,Merlin Labs 也发文表示,Merlin 通过检查 Bunny 攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin 开发团队对此类攻击事件提出了解决方案,可以防止类似事件在 Merlin 身上发生。同时,Merlin 强调用户的安全是他们的头等大事。

The Block研究总监:Ledger遭黑客攻击事件致其信息泄露高达50%:12月21日消息,The Block研究总监Larry Cermak发推表示,Ledger的信息泄漏事件比想象当中要严重得多,在与购买Ledgers的用户进行对照检查后,发现其泄露信息命中率约为50%,该信息包括家庭住址以及电话号码。Larry称,这也是在提醒用户不要将真实地址和电话号码用于与加密货币相关的购买。[2020/12/21 15:55:52]

然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程:

这一次,攻击者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿,并获得相应的 LP Token,Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap,获取 CAKE 奖励,并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利;攻击者调用 getReward() 函数,这一步与 BUNNY 的漏洞同源,CAKE 大量注入,使攻击者获得大量 MERLIN 的奖励,攻击者重复操作,最终共计获得 4.9 万 MERLIN 的奖励,攻击者抽离流动性后完成攻击。

随后,攻击者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。

在这批 BSC DeFi 的浪潮上,如果 DeFi 协议开发者不提高对安全的重视度,不仅会将 BSC 的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。

从 PancakeBunny 接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地” 。

世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。

毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去

标签:COINOINHECBCDcoinbase中文叫什么交易所周年庆什么时候bitcoin交易所怎么样coincheck局WBCD币

USDC热门资讯
金色DeFi日报 | DeFi中稳定币的借款利率创年内新低

DeFi数据 1.DeFi总市值:964.65亿美元 市值前十币种排名数据来源DeFibox DeFi总市值数据来源:Coingecko 2.过去24小时去中心化交易所的交易量:57.8亿美元 过去24小时去中心化交易所的交易量数据来源:Debank 交易量排名前十的DEX 排名来源:DeFibox 3.DeFi借贷平台借款总量:159。

买了虚拟币却卖不出去 央视揭秘“百倍币”局

原标题:买了虚拟币却卖不出去!总台记者独家揭秘“百倍币”局 卖不掉的虚拟币 这并不是国家第一次这么大力度来监管虚拟币了。2013年,人民银行等5部委印发《关于防范比特币风险的通知》,禁止金融机构和支付机构开展比特币相关业务。

金色观察 | 这些明星将发行NFT 你会为“爱豆”买单吗?

万物皆可NFT。 最近一段时间,NFT成功接棒DeFi,成为币圈新的热门话题。在 NFT 的发展过程中,名人效应起到了非常重要的作用。凭借名人自带流量的属性,他们参与发行的 NFT 作品将直接带来经济效应。

Uniswap v3 :走向资本高效还是放大LP损失?

感谢原作者Momir Amidzic(IOSG)?和合著者Danning Sui(0x Labs)对文章的支持! Uniswap v1和v2实现了简单的统一XYK定价曲线。当出现大额交易时,在任何价格区间内都能以低资产利用率和呈指数增长的价格保证流动性。

被误读的闪电贷:它只是一个工具

据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共生 46 起较为突出的安全事件。涉及 DeFi 相关 25 起、交易所相关 4 起、勒索相关 3 起,欺诈事件 10 起,钱包相关 2 起,智能合约相关 2 起。

全面关闭矿场 比特币矿机究竟有什么错?

讲个有意思的事,前阵子国务院金融委不是发了一条有关币圈的大消息么,大炸弹还没落地,币圈就染红了一片。 然后有意思的事发生了,一堆人第一时间向我发来问候。 圈内人清一水的问:套现还是抄底? 圈外人也清一水的问:你还好吗?亏钱没?是不是破产了? 圈内人就不说了,前有94,后有312,对消息都免疫了,套现和抄底无非就是赚多赚少的问题。