妖怪已经从瓶子里跑出来了?我们剖析了PancakeBunny和AutoShark的闪电贷攻击原理和攻击者的链上转账记录,发现了MerlinLabs同源攻击的一些蛛丝马迹。
2021年5月20日,一群不知名的攻击者通过调用函数getReward()抬高LPtoken的价值,获得额外的价值4,500万美元的BUNNY奖励。5月25日,PeckShield「派盾」预警发现,ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源闪电贷攻击。
2021年5月26日,就在AutoSharkFinance遭到攻击24小时后,PeckShield「派盾」安全人员通过剖析PancakeBunny和AutoShark攻击原理和攻击者的链上转账记录,发现了ForkPancakeBunny的MerlinLabs遭到同源攻击。
清华大学教授沈阳:元宇宙是信息技术产业又一次生产力大提升:5月2日消息,清华大学新闻学院元宇宙文化实验室主任沈阳在接受《中国科技信息》杂志采访时称,元宇宙与当初的移动互联网类似,是人类在信息技术产业领域的又一次生产力大提升。未来元宇宙在跨平台要素方面会发展比较快。如果以目前的产品对标,未来VR很大程度上会替代现有的个人计算机,AR眼镜会替代手机,手机会逐步退化成一个计算设备,而不是交互设备。他还认为,看待元宇宙绝不能存在投机的目光。做一个极端性的假设,假如苹果推出元宇宙设备但遇冷,那么可能投机者会选择出局,就混不下去了。只有真正的务实者和胸怀理想的企业才能坚持下来。[2022/5/2 2:45:27]
所有上述三次攻击都有两个类似特征,攻击者盯上了ForkPancakeBunny的收益聚合器;攻击者完成攻击后,通过Nerve跨链桥将它们分批次转换为ETH。
嘉楠科技面临又一起集体诉讼:嘉楠科技面临又一起集体诉讼。律师事务所Rosen代表嘉楠股票投资者对嘉楠科技首次公开募股(IPO)提起了诉讼。该律师事务所声称,由于在IPO过程中未能披露许多问题,导致投资者因其虚假和误导性陈述而蒙受了损失。(Cointelegraph)[2020/3/5]
诺贝尔经济学家席勒:比特币可能是又一次失败的货币实验:5月21日,诺贝尔经济学奖获得者、耶鲁大学教授罗伯特·希勒(Robert Shiller)在新发布的一篇博客中表示,加密货币市场的出现正在模仿历史上一些最失败的货币实验。他说尽管有人警告称这可能是一个局,但人们对加密货币市场的热情依然高涨。他说,人们必须记住,重塑货币的尝试在历史上一直都存在。然而,他补充说,尽管新的货币创新在开始时令人兴奋,但它们未能持续下去。[2018/5/22]
有意思的是,在PancakeBunny遭到攻击后,MerlinLabs也发文表示,Merlin通过检查Bunny攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin开发团队对此类攻击事件提出了解决方案,可以防止类似事件在Merlin身上发生。同时,Merlin强调用户的安全是他们的头等大事。
日本又一交易所宣布延期业务:日本继DMM Bitcoin加密货币交易所之后,DMM集团的加密货币交易所也宣布将延期其原定2018年春开始的业务,时间未定。其公告称,该交易所正为在金融厅申请注册做准备。[2018/5/10]
然而,Bunny的不幸在Merlin的身上重演。Merlin「梅林」称它的定位是Bunny「兔子」的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。
PeckShield「派盾」简述攻击过程:
这一次,攻击者没有借闪电贷作为本金,而是将少量BNB存入PancakeSwap进行流动性挖矿,并获得相应的LPToken,Merlin的智能合约负责将攻击者的资产押入PancakeSwap,获取CAKE奖励,并将CAKE奖励直接到CAKE池中进行下一轮的复利;攻击者调用getReward()函数,这一步与BUNNY的漏洞同源,CAKE大量注入,使攻击者获得大量MERLIN的奖励,攻击者重复操作,最终共计获得4.9万MERLIN的奖励,攻击者抽离流动性后完成攻击。
随后,攻击者通过Nerve跨链桥将它们分批次转换为ETH,PeckShield「派盾」旗下的反态势感知系统CoinHolmes将持续监控转移的资产动态。
PeckShield「派盾」提示:ForkPancakeBunny的DeFi协议务必仔细检查自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构对同类攻击进行预防和监控,不要沦为下一个「不幸者」。
在这批BSCDeFi的浪潮上,如果DeFi协议开发者不提高对安全的重视度,不仅会将BSC的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。
从PancakeBunny接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在ForkBunny的DeFi协议上重复试验就能捞上可观的一笔。Fork的DeFi协议可能尚未成为Bunny挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地”。
世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。
毫无疑问,无论ForkBunny的DeFi协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。