妖怪已经从瓶子里跑出来了?我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录,发现了 Merlin Labs 同源攻击的一些蛛丝马迹。
2021 年 5 月 20 日,一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值,获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日,PeckShield「派盾」预警发现,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。
动态 | 彭博社:跌破又一个关键支撑位后,BTC触及6个月以来低点:本周五,比特币的抛售进一步加剧,使其跌至今年5月以来的最低点。而比特币此前已经跌破了又一个关键支撑位。作为全球交易量最大的加密货币,比特币一度下跌11%,最低至6798美元,随后收复了部分失地。以太坊和莱特币等其他主流币也同步大幅下跌。自今年4月以来,比特币首次在跌破200日移动均线后未发生反弹,这是一个信号,表明交易者认为目前比特币暴跌是市场疲软的信号,而不是买入的机会。Greenspan等分析师表示,有传言称,比特币矿工在市场下跌时一直在抛售。(彭博社)[2019/11/23]
2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻击 24 小时后,PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录,发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。
声音 | Zebpay CEO:Facebook的加密野心是对区块链和加密生态系统的又一次验证:据Livebitcoinnews消息,印度交易所Zebpay首席执行官Ajeet Khurana表示,Facebook的加密野心是对区块链和加密生态系统的又一次验证,2019年初,从JP Morgan Coin到捷豹的IOTA计划,再到介于二者之间的一切表明,机构热情大幅上升。[2019/5/5]
所有上述三次攻击都有两个类似特征,攻击者盯上了 Fork PancakeBunny 的收益聚合器;攻击者完成攻击后,通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH。
北卡罗来纳州向又一家在美国出售未注册证券的加密货币公司发出停止令:3月2日,自两月前对Bitconnect签署了停止令后,北卡罗来纳州国务卿证券部对欧洲加密货币公司PowerMining Pool发布了临时停止令,该公司同样被认为在美国出售未经注册的证券。据官方文件,PowerMining Pool采用了有问题的销售策略,其在北卡罗来纳州的活动违反了国家的“证券法”,其商业行为“直接威胁,并造成无法挽回的公共伤害”。PMP声称为比特币出售“股份”,并代表其股东挖掘七种不同的加密货币。该公司的北卡罗来纳州分支机构还使用了一系列方法来推销这一销售,其中包括在社交媒体平台YouTube,Facebook,Instagram,甚至是本地渠道发布广告,向投资者许以高额回报。[2018/3/7]
加密货币将成为离婚夫妇又一个需要解决的财产分割问题:目前仍有许多理由让各国政府不得不对加密货币采取监管措施,当中可能会涉及到、利用加密货币逃税等非法活动。现在又多了一个理由:离婚夫妇的财产分割。据悉 ,英国律师事务所Royds Withy King披露,眼下他们至少已经为不下三对离婚夫妇提供关于加密货币的咨询服务。其中一对离婚夫妇的案子因为其货币的高价值性–等同于60万英镑(折合人民币约为533万)尤为突出。[2018/2/15]
有意思的是,在 PancakeBunny 遭到攻击后,Merlin Labs 也发文表示,Merlin 通过检查 Bunny 攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin 开发团队对此类攻击事件提出了解决方案,可以防止类似事件在 Merlin 身上发生。同时,Merlin 强调用户的安全是他们的头等大事。
然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。
PeckShield「派盾」简述攻击过程:
这一次,攻击者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿,并获得相应的 LP Token,Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap,获取 CAKE 奖励,并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利;攻击者调用 getReward() 函数,这一步与 BUNNY 的漏洞同源,CAKE 大量注入,使攻击者获得大量 MERLIN 的奖励,攻击者重复操作,最终共计获得 4.9 万 MERLIN 的奖励,攻击者抽离流动性后完成攻击。
随后,攻击者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。
在这批 BSC DeFi 的浪潮上,如果 DeFi 协议开发者不提高对安全的重视度,不仅会将 BSC 的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。
从 PancakeBunny 接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地” 。
世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。
毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。