又一打臉現場:Fork Bunny的Merlin損失240ETH

2021-05-26 21:05:26

妖怪已經從瓶子裏跑出來了?我們剖析了 PancakeBunny 和 AutoShark 的閃電貸攻擊原理和攻擊者的鏈上轉账記錄,發現了 Merlin Labs 同源攻擊的一些蛛絲馬跡。

2021 年 5 月 20 日,一群不知名的攻擊者通過調用函數 getReward() 擡高 LP token 的價值,獲得額外的價值 4,500 萬美元的 BUNNY 獎勵。5 月 25 日,PeckShield「派盾」預警發現,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源閃電貸攻擊。

2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻擊 24 小時後,PeckShield「派盾」安全人員通過剖析 PancakeBunny 和 AutoShark 攻擊原理和攻擊者的鏈上轉账記錄,發現了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻擊。

所有上述三次攻擊都有兩個類似特徵,攻擊者盯上了 Fork PancakeBunny 的收益聚合器;攻擊者完成攻擊後,通過 Nerve(Anyswap)跨鏈橋將它們分批次轉換為 ETH。

又一打臉現場:Fork Bunny的Merlin損失240ETH

有意思的是,在 PancakeBunny 遭到攻擊後,Merlin Labs 也發文表示,Merlin 通過檢查 Bunny 攻擊事件的漏洞,不斷通過細節反復執行代碼的審核,為潛在的可能性採取了額外的預防措施。此外,Merlin 开發團隊對此類攻擊事件提出了解決方案,可以防止類似事件在 Merlin 身上發生。同時,Merlin 強調用戶的安全是他們的頭等大事。

又一打臉現場:Fork Bunny的Merlin損失240ETH

然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」稱它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法終未逃過兔子的詛咒。

PeckShield「派盾」簡述攻擊過程:

又一打臉現場:Fork Bunny的Merlin損失240ETH

這一次,攻擊者沒有借閃電貸作為本金,而是將少量 BNB 存入 PancakeSwap 進行流動性挖礦,並獲得相應的 LP Token,Merlin 的智能合約負責將攻擊者的資產押入 PancakeSwap,獲取 CAKE 獎勵,並將 CAKE 獎勵直接到 CAKE 池中進行下一輪的復利;攻擊者調用 getReward() 函數,這一步與 BUNNY 的漏洞同源,CAKE 大量注入,使攻擊者獲得大量 MERLIN 的獎勵,攻擊者重復操作,最終共計獲得 4.9 萬 MERLIN 的獎勵,攻擊者抽離流動性後完成攻擊。

隨後,攻擊者通過 Nerve(Anyswap)跨鏈橋將它們分批次轉換為 ETH,PeckShield「派盾」旗下的反洗錢態勢感知系統 CoinHolmes 將持續監控轉移的資產動態。

PeckShield「派盾」提示:Fork PancakeBunny 的 DeFi 協議務必仔細檢查自己的合約是否也存在類似的漏洞,或者尋求專業的審計機構對同類攻擊進行預防和監控,不要淪為下一個「不幸者」。

在這批 BSC DeFi 的浪潮上,如果 DeFi 協議开發者不提高對安全的重視度,不僅會將 BSC 的生態安全置於風險之中,而且會淪為攻擊者睥睨的羊毛地。

從 PancakeBunny 接連發生的攻擊模仿案來看,攻擊者都不需要太高技術和資金的門檻,只要耐心地將同源漏洞在 Fork Bunny 的 DeFi 協議上重復試驗就能撈上可觀的一筆。Fork 的 DeFi 協議可能尚未成為 Bunny 挑战者,就因同源漏洞損失慘重,被嘲笑為“頑固的韭菜地” 。

世界上有兩種類型的“遊戲“,“有限的遊戲“和“無限的遊戲“。有限的遊戲,其目的在於贏得勝利;無限的遊戲,卻旨在讓遊戲永遠進行下去。

毫無疑問,無論 Fork Bunny 的 DeFi 協議接下來會不會認真自查代碼,攻擊者們的無限遊戲將會持續進行下去

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

XRP飆升至三年新高,ChatGPT預言2025年可達5美元!

人工智能預測XRP何時可能達到5美元,並對新興山寨幣STARS給出看漲預測 全球交易者正在轉向Ch...

coincaso
21 3天前

今日推薦|傳統金融巨頭Visa、摩根大通等正在積極推動資產代幣化

什么是代幣化資產?代幣化資產是資產所有權的數字化表示,存儲在區塊鏈上。這些數字代幣使得高價值資產可...

coincaso
26 4天前

超萬億市場的變革——了解真實世界資產代幣化

簡介:什么是資產代幣化? 首先,定義代幣化——這是一個將資產的發行、記账和管理流程轉變為數字化的過...

coincaso
30 1周前

UU Wallet:守正出奇、合規創新,東南亞加密支付新勢力

由Chainlink主辦的2024 SmartCon大會近日在香港落幕,作為大會頂級贊助商之一,東...

coincaso
32 1周前

COW 單日翻倍領漲 DeFi 賽道,V 神最愛的 swap 有什么本領?

隨着特朗普的勝選,加密資產全线普漲,但最為矚目的項目當屬剛剛上线幣安的 COW,最高漲幅204%。...

coincaso
37 2周前

今日推薦|DeFi 代幣飆升 30%,交易員預計在特朗普領導下 DeFi 將迎來“更友好”的環境

DeFi 公司擔心在美國證券交易委員會的監督下為其代幣實施“價值累積機制”——但隨着當選總統唐納德...

coincaso
33 2周前