SWAP:又一打脸现场：Fork Bunny的Merlin损失240ETH_BunnyToken

妖怪已经从瓶子里跑出来了？我们剖析了PancakeBunny和AutoShark的闪电贷攻击原理和攻击者的链上转账记录，发现了MerlinLabs同源攻击的一些蛛丝马迹。

2021年5月20日，一群不知名的攻击者通过调用函数getReward()抬高LPtoken的价值，获得额外的价值4,500万美元的BUNNY奖励。5月25日，PeckShield「派盾」预警发现，ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源闪电贷攻击。

2021年5月26日，就在AutoSharkFinance遭到攻击24小时后，PeckShield「派盾」安全人员通过剖析PancakeBunny和AutoShark攻击原理和攻击者的链上转账记录，发现了ForkPancakeBunny的MerlinLabs遭到同源攻击。

派盾：又一套利者通过Ankr漏洞获利约350万美元，获利资金已转入币安?:12月2日消息，安全公司派盾在推特上表示，一名社区贡献者发现0x9bae开头地址通过Ankr漏洞获利约350万美元，且已将获利资金，约187万枚Binance-Peg BUSD与163万枚Binance-Peg USDC转入币安。

此前消息，0x8d11开头的地址借助Ankr漏洞用10枚BNB换得1550万枚BUSD。[2022/12/2 21:18:09]

所有上述三次攻击都有两个类似特征，攻击者盯上了ForkPancakeBunny的收益聚合器；攻击者完成攻击后，通过Nerve跨链桥将它们分批次转换为ETH。

ARK基金创始人：比特币是1600年代以来又一个新的资产类别:ARK基金创始人Cathiewood最近在MSCI主办、CFAInstitute和万得3C协办的直播中表示，在互联网发展的早期阶段，很少有人想到它会和商业联系在一起，因为早期的互联网主要是为情报部门、国防部门和学术界服务的，直到1991年之前，大众还不允许被使用互联网。所以最初的互联网理所当然的不存在支付系统，我们认为区块链技术就是互联网内生的支付平台，而比特币就是所有加密货币中的储备货币，我们认为区块链技术大部分的价值会在向少数几种加密货币汇聚。至于以区块链技术为核心的去中心化的金融几乎已经发展出一个平行的金融服务生态系统，包括投资、租赁、衍生品，几乎包含传统金融服务的方方面面。区块链技术还处于发展的初期，它风险很大，但我们相信对其生态系统的管控治理已经得到很大程度的改善，因为疫情之后加密资产的崩溃，以及很多投资者破产，使得对区块链的管控更加完善。我们也看到越来越多的机构投资者开始投资比特币，我们也知道比特币的总体供应只有2100万枚，而现在已经到了1900万，所以它具备稀缺性的特征，使之可以被看成是数字黄金。我们认为机构投资者的介入是一剂强心剂，而且比特币的价格跟其他加密资产并没有什么相关性。因此，我们相信，比特币是1600年代以来，我们发现的又一个新的资产类别。过去六个月，最让我们惊讶的就是像特斯拉这样的公司开始买入比特币以分散持有现金的风险，这有可能是因为这些公司想在非洲拓展业务，而这些地区由于本国货币币值不稳定，很难进行交易。[2021/3/26 19:19:28]

有意思的是，在PancakeBunny遭到攻击后，MerlinLabs也发文表示，Merlin通过检查Bunny攻击事件的漏洞，不断通过细节反复执行代码的审核，为潜在的可能性采取了额外的预防措施。此外，Merlin开发团队对此类攻击事件提出了解决方案，可以防止类似事件在Merlin身上发生。同时，Merlin强调用户的安全是他们的头等大事。

又一个区块链相关ETF今日上市纽约证交所:Innovation Shares LLC公司的NextGen Protocol ETF（股票代码：KOIN）今日在纽约证券交易所Arca交易所上市。截止到美国东部时间上午9:46（国内晚10:46），交易量达到2,100，价格为每股24.88美元。[2018/1/31]

然而，Bunny的不幸在Merlin的身上重演。Merlin「梅林」称它的定位是Bunny「兔子」的挑战者，不幸的是，梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程：

这一次，攻击者没有借闪电贷作为本金，而是将少量BNB存入PancakeSwap进行流动性挖矿，并获得相应的LPToken，Merlin的智能合约负责将攻击者的资产押入PancakeSwap，获取CAKE奖励，并将CAKE奖励直接到CAKE池中进行下一轮的复利；攻击者调用getReward()函数，这一步与BUNNY的漏洞同源，CAKE大量注入，使攻击者获得大量MERLIN的奖励，攻击者重复操作，最终共计获得4.9万MERLIN的奖励，攻击者抽离流动性后完成攻击。

随后，攻击者通过Nerve跨链桥将它们分批次转换为ETH，PeckShield「派盾」旗下的反态势感知系统CoinHolmes将持续监控转移的资产动态。

PeckShield「派盾」提示：ForkPancakeBunny的DeFi协议务必仔细检查自己的合约是否也存在类似的漏洞，或者寻求专业的审计机构对同类攻击进行预防和监控，不要沦为下一个「不幸者」。

在这批BSCDeFi的浪潮上，如果DeFi协议开发者不提高对安全的重视度，不仅会将BSC的生态安全置于风险之中，而且会沦为攻击者睥睨的羊毛地。

从PancakeBunny接连发生的攻击模仿案来看，攻击者都不需要太高技术和资金的门槛，只要耐心地将同源漏洞在ForkBunny的DeFi协议上重复试验就能捞上可观的一笔。Fork的DeFi协议可能尚未成为Bunny挑战者，就因同源漏洞损失惨重，被嘲笑为“顽固的韭菜地”。

世界上有两种类型的“游戏“，“有限的游戏“和“无限的游戏“。有限的游戏，其目的在于赢得胜利；无限的游戏，却旨在让游戏永远进行下去。

毫无疑问，无论ForkBunny的DeFi协议接下来会不会认真自查代码，攻击者们的无限游戏将会持续进行下去

标签：SWAPRUNEUNNBUNNYEmiSwapTIR RUNE - Rune.Gamebunny币被盗BunnyToken

Fil热门资讯