我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录,发现了 Merlin Labs 同源攻击的一些蛛丝马迹。
有意思的是,在 PancakeBunny 遭到攻击后,Merlin Labs 也发文表示,Merlin 通过检查 Bunny 攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin 开发团队对此类攻击事件提出了解决方案,可以防止类似事件在 Merlin 身上发生。同时,Merlin 强调用户的安全是他们的头等大事。
然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。
PeckShield「派盾」简述攻击过程:
这一次,攻击者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿,并获得相应的 LP Token,Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap,获取 CAKE 奖励,并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利;攻击者调用 getReward() 函数,这一步与 BUNNY 的漏洞同源,CAKE 大量注入,使攻击者获得大量 MERLIN 的奖励,攻击者重复操作,最终共计获得 4.9 万 MERLIN 的奖励,攻击者抽离流动性后完成攻击。
随后,攻击者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反洗钱态势感知系统 CoinHolmes 将持续监控转移的资产动态。
PeckShield「派盾」提示:Fork PancakeBunny 的 DeFi 协议务必仔细检查自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构对同类攻击进行预防和监控,不要沦为下一个「不幸者」。
在这批 BSC DeFi 的浪潮上,如果 DeFi 协议开发者不提高对安全的重视度,不仅会将 BSC 的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。
从 PancakeBunny 接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地” 。
世界上有两种类型的“游戏”,“有限的游戏”和“无限的游戏”。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。
毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去
免责声明:
本文观点仅代表作者个人观点,不构成本平台的投资建议,本平台不对文章信息准确性、完整性和及时性作出任何保证,亦不对因使用或信赖文章信息引发的任何损失承担责任
美联储降息对比特币的影响
贝莱德:比特币已不是单纯的风险资产
白话区块链早报:哈里斯首次对加密货币发表评论并承诺支持该领域
VanEck 分析师表示,卡马拉·哈里斯出任总统可能会对比特币更有利
newwifi怎么挖矿_怎么看区块链盈利空间(怎么看区块链盈利空间多大)
以太坊干嘛用的_以太坊区块浏览器可以干嘛
比特币昨日为何大涨_比特币涨破48000美元大关哪些因素促成了比特币疯涨
币圈行情有声_数字货币交易所国内的哪家最强
eth提取到冷钱包_冷钱包矿工费转不进去怎么回事
区块链的kol人物有哪些_区块链投资界有哪些大佬
0.00