又一打臉現場：Fork Bunny的Merlin損失240ETH_BUN

妖怪已經從瓶子里跑出來了？我們剖析了 PancakeBunny 和 AutoShark 的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄，發現了 Merlin Labs 同源攻擊的一些蛛絲馬跡。

2021 年 5 月 20 日，一群不知名的攻擊者通過調用函數 getReward() 抬高 LP token 的價值，獲得額外的價值 4,500 萬美元的 BUNNY 獎勵。5 月 25 日，PeckShield「派盾」預警發現，Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源閃電貸攻擊。

ARK基金創始人：比特幣是1600年代以來又一個新的資產類別:ARK基金創始人Cathiewood最近在MSCI主辦、CFAInstitute和萬得3C協辦的直播中表示，在互聯網發展的早期階段，很少有人想到它會和商業聯系在一起，因為早期的互聯網主要是為情報部門、國防部門和學術界服務的，直到1991年之前，大眾還不允許被使用互聯網。所以最初的互聯網理所當然的不存在支付系統，我們認為區塊鏈技術就是互聯網內生的支付平臺，而比特幣就是所有加密貨幣中的儲備貨幣，我們認為區塊鏈技術大部分的價值會在向少數幾種加密貨幣匯聚。至于以區塊鏈技術為核心的去中心化的金融幾乎已經發展出一個平行的金融服務生態系統，包括投資、租賃、衍生品，幾乎包含傳統金融服務的方方面面。區塊鏈技術還處于發展的初期，它風險很大，但我們相信對其生態系統的管控治理已經得到很大程度的改善，因為疫情之后加密資產的崩潰，以及很多投資者破產，使得對區塊鏈的管控更加完善。我們也看到越來越多的機構投資者開始投資比特幣，我們也知道比特幣的總體供應只有2100萬枚，而現在已經到了1900萬，所以它具備稀缺性的特征，使之可以被看成是數字黃金。我們認為機構投資者的介入是一劑強心劑，而且比特幣的價格跟其他加密資產并沒有什么相關性。因此，我們相信，比特幣是1600年代以來，我們發現的又一個新的資產類別。過去六個月，最讓我們驚訝的就是像特斯拉這樣的公司開始買入比特幣以分散持有現金的風險，這有可能是因為這些公司想在非洲拓展業務，而這些地區由于本國貨幣幣值不穩定，很難進行交易。[2021/3/26 19:19:28]

2021 年 5 月 26 日，就在 AutoShark Finance 遭到攻擊 24 小時后，PeckShield「派盾」安全人員通過剖析 PancakeBunny 和 AutoShark 攻擊原理和攻擊者的鏈上轉賬記錄，發現了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻擊。

動態 | 騰訊Q2財報：受5G、人工智能和區塊鏈技術成熟等利好因素，金融科技將迎來又一戰略機遇期:騰訊發布Q2財報，在第二季度中，騰訊在金融科技方面動作頻頻。6月19日，騰訊發布了兩項重要人事任命，正式敲定了香港虛擬銀行董事長和金融科技板塊的兩位新負責人——賴智明和林海峰。據騰訊方面表示，受5G、人工智能和區塊鏈技術成熟、粵港澳大灣區規劃出臺等眾多利好因素帶動，金融科技2019年迎來發展的又一戰略機遇期，新任負責人將帶領騰訊金融科技擁抱新機遇。[2019/8/15]

所有上述三次攻擊都有兩個類似特征，攻擊者盯上了 Fork PancakeBunny 的收益聚合器；攻擊者完成攻擊后，通過 Nerve（Anyswap）跨鏈橋將它們分批次轉換為 ETH。

聲音 | 末日博士：Bitfinex很可能通過新的Tether發行又一次操縱了比特幣:末日博士Nouriel Roubini剛剛發推，轉發了一條抨擊比特幣泡沫的推文和文章，并稱，這篇重要的文章顯示，隱藏在最新的比特幣泡沫背后的可能是什么。“最有可能的是BitFinex通過新的Tether發行又一次操縱了比特幣的拉升。”[2019/5/12]

有意思的是，在 PancakeBunny 遭到攻擊后，Merlin Labs 也發文表示，Merlin 通過檢查 Bunny 攻擊事件的漏洞，不斷通過細節反復執行代碼的審核，為潛在的可能性采取了額外的預防措施。此外，Merlin 開發團隊對此類攻擊事件提出了解決方案，可以防止類似事件在 Merlin 身上發生。同時，Merlin 強調用戶的安全是他們的頭等大事。

動態 | PeckShield 安全播報: “假EOS”攻擊再出現 又一EOS競猜類游戲遭黑客攻擊:據 PeckShield 態勢感知平臺11月21日數據顯示：今天15:43 - 18:31之間，黑客（kuybupeykieh）向EOS競猜游戲合約（vegasgame111）發起攻擊，共計獲利數百個EOS，追蹤鏈上數據發現，為了防止資金流向被追蹤，該黑客采用多達幾十次的創建子賬號操作來順序轉移所獲資產。PeckShield 安全人員分析發現，該黑客利用的是“假EOS”漏洞實施攻擊，這一漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少。一些較小規模的游戲還可能還存在類似漏洞，PeckShield在此提醒廣大游戲開發者和游戲玩家，警惕安全風險。[2018/11/21]

然而，Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」稱它的定位是 Bunny「兔子」 的挑戰者，不幸的是，梅林的魔法終未逃過兔子的詛咒。

PeckShield「派盾」簡述攻擊過程：

這一次，攻擊者沒有借閃電貸作為本金，而是將少量 BNB 存入 PancakeSwap 進行流動性挖礦，并獲得相應的 LP Token，Merlin 的智能合約負責將攻擊者的資產押入 PancakeSwap，獲取 CAKE 獎勵，并將 CAKE 獎勵直接到 CAKE 池中進行下一輪的復利；攻擊者調用 getReward() 函數，這一步與 BUNNY 的漏洞同源，CAKE 大量注入，使攻擊者獲得大量 MERLIN 的獎勵，攻擊者重復操作，最終共計獲得 4.9 萬 MERLIN 的獎勵，攻擊者抽離流動性后完成攻擊。

隨后，攻擊者通過 Nerve（Anyswap）跨鏈橋將它們分批次轉換為 ETH，PeckShield「派盾」旗下的反洗錢態勢感知系統 CoinHolmes 將持續監控轉移的資產動態。

在這批 BSC DeFi 的浪潮上，如果 DeFi 協議開發者不提高對安全的重視度，不僅會將 BSC 的生態安全置于風險之中，而且會淪為攻擊者睥睨的羊毛地。

從 PancakeBunny 接連發生的攻擊模仿案來看，攻擊者都不需要太高技術和資金的門檻，只要耐心地將同源漏洞在 Fork Bunny 的 DeFi 協議上重復試驗就能撈上可觀的一筆。Fork 的 DeFi 協議可能尚未成為 Bunny 挑戰者，就因同源漏洞損失慘重，被嘲笑為“頑固的韭菜地” 。

世界上有兩種類型的“游戲“，“有限的游戲“和“無限的游戲“。有限的游戲，其目的在于贏得勝利；無限的游戲，卻旨在讓游戲永遠進行下去。

毫無疑問，無論 Fork Bunny 的 DeFi 協議接下來會不會認真自查代碼，攻擊者們的無限游戲將會持續進行下去

Tags：BUNNYUNNBUNCAKEBUNNY幣PancakeBunnyBUNI價格CAKECRYPT價格

FTT