比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > ETH > Info

又一打臉現場:Fork Bunny的Merlin損失240ETH_UNN

Author:

Time:1900/1/1 0:00:00

妖怪已經從瓶子里跑出來了?我們剖析了PancakeBunny和AutoShark的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄,發現了MerlinLabs同源攻擊的一些蛛絲馬跡。

2021年5月20日,一群不知名的攻擊者通過調用函數getReward()抬高LPtoken的價值,獲得額外的價值4,500萬美元的BUNNY獎勵。5月25日,PeckShield「派盾」預警發現,ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源閃電貸攻擊。

2021年5月26日,就在AutoSharkFinance遭到攻擊24小時后,PeckShield「派盾」安全人員通過剖析PancakeBunny和AutoShark攻擊原理和攻擊者的鏈上轉賬記錄,發現了ForkPancakeBunny的MerlinLabs遭到同源攻擊。

安全公司:PlusToken又一涉案地址開始轉賬:北京鏈安Chainsmap監測系統發現,15pyB7開頭的PlusToken涉案地址于北京時間3月5日上午9:27分開始轉賬,其中7023BTC打入到一個新的地址,這也是該地址自從去年9月20日之后首次轉賬。[2020/3/5]

所有上述三次攻擊都有兩個類似特征,攻擊者盯上了ForkPancakeBunny的收益聚合器;攻擊者完成攻擊后,通過Nerve跨鏈橋將它們分批次轉換為ETH。

有意思的是,在PancakeBunny遭到攻擊后,MerlinLabs也發文表示,Merlin通過檢查Bunny攻擊事件的漏洞,不斷通過細節反復執行代碼的審核,為潛在的可能性采取了額外的預防措施。此外,Merlin開發團隊對此類攻擊事件提出了解決方案,可以防止類似事件在Merlin身上發生。同時,Merlin強調用戶的安全是他們的頭等大事。

動態 | PeckShield 安全播報: “假EOS”攻擊再出現 又一EOS競猜類游戲遭黑客攻擊:據 PeckShield 態勢感知平臺11月21日數據顯示:今天15:43 - 18:31之間,黑客(kuybupeykieh)向EOS競猜游戲合約(vegasgame111)發起攻擊,共計獲利數百個EOS,追蹤鏈上數據發現,為了防止資金流向被追蹤,該黑客采用多達幾十次的創建子賬號操作來順序轉移所獲資產。PeckShield 安全人員分析發現,該黑客利用的是“假EOS”漏洞實施攻擊,這一漏洞在10月份較為普遍,不過隨著多數開發者合約開發趨于規范,類似攻擊事件已經很少。一些較小規模的游戲還可能還存在類似漏洞,PeckShield在此提醒廣大游戲開發者和游戲玩家,警惕安全風險。[2018/11/21]

然而,Bunny的不幸在Merlin的身上重演。Merlin「梅林」稱它的定位是Bunny「兔子」的挑戰者,不幸的是,梅林的魔法終未逃過兔子的詛咒。

BTC又一次跌破9000美元大關:根據火幣全球專業站數據顯示,在USDT交易區,BTC價格再度跌破9000美元大關,暫時報價為8947.47美元,跌幅達到2.4%,而其他主流加密貨幣也紛紛出現下跌現象,如BCH(-3.71%)、EHT(-0.87%)、EOS(-1.05%)。[2018/3/13]

PeckShield「派盾」簡述攻擊過程:

這一次,攻擊者沒有借閃電貸作為本金,而是將少量BNB存入PancakeSwap進行流動性挖礦,并獲得相應的LPToken,Merlin的智能合約負責將攻擊者的資產押入PancakeSwap,獲取CAKE獎勵,并將CAKE獎勵直接到CAKE池中進行下一輪的復利;攻擊者調用getReward()函數,這一步與BUNNY的漏洞同源,CAKE大量注入,使攻擊者獲得大量MERLIN的獎勵,攻擊者重復操作,最終共計獲得4.9萬MERLIN的獎勵,攻擊者抽離流動性后完成攻擊。

隨后,攻擊者通過Nerve跨鏈橋將它們分批次轉換為ETH,PeckShield「派盾」旗下的反洗錢態勢感知系統CoinHolmes將持續監控轉移的資產動態。

PeckShield「派盾」提示:ForkPancakeBunny的DeFi協議務必仔細檢查自己的合約是否也存在類似的漏洞,或者尋求專業的審計機構對同類攻擊進行預防和監控,不要淪為下一個「不幸者」。

在這批BSCDeFi的浪潮上,如果DeFi協議開發者不提高對安全的重視度,不僅會將BSC的生態安全置于風險之中,而且會淪為攻擊者睥睨的羊毛地。

從PancakeBunny接連發生的攻擊模仿案來看,攻擊者都不需要太高技術和資金的門檻,只要耐心地將同源漏洞在ForkBunny的DeFi協議上重復試驗就能撈上可觀的一筆。Fork的DeFi協議可能尚未成為Bunny挑戰者,就因同源漏洞損失慘重,被嘲笑為“頑固的韭菜地”。

世界上有兩種類型的“游戲“,“有限的游戲“和“無限的游戲“。有限的游戲,其目的在于贏得勝利;無限的游戲,卻旨在讓游戲永遠進行下去。

毫無疑問,無論ForkBunny的DeFi協議接下來會不會認真自查代碼,攻擊者們的無限游戲將會持續進行下去

Tags:BUNBUNNYUNNCAKEBUN價格CRAZYBUNNYUNN價格Cake Girl

ETH
關于合約交易系統維護升級的公告_FIN

親愛的用戶: 為了提供更好的現貨及杠桿交易體驗,DigiFinex于2021年5月26日10:00-10:30(GMT8)期間進行為期0.5小時的合約交易系統維護升級.

1900/1/1 0:00:00
關于ADA恢復充提幣的公告_區塊鏈

公告編號2021052601各位關心ZBG.io的投資者們和項目方:ZBG平臺現已恢復ADA的充提幣.

1900/1/1 0:00:00
Gate.io SKRT超級福利:充值、交易SKRT,贏$14,000美元大獎活動公告_GAT

Gate.io已首發上線Sekuritance(SKRT)并開通交易,SKRT超級福利今日開啟!活動期間充值SKRT前600名平分$3,000美金,交易排名前100名再享$10,000美金.

1900/1/1 0:00:00
Gitcoin終于發幣了,你領到了多少?_COI

作者|秦曉峰 出品|Odaily星球日報北京時間25日晚11點,去中心化資助平臺Gitcoin發布推文表示,正式發行治理代幣GTC.

1900/1/1 0:00:00
老李解幣:5.24日布局多單完美止盈BTC獲利2200點_APE

有時,面對單邊的行情,有人擅長持有,是對大方向堅定的認可,面對震蕩的行情,有人喜歡波段交易,是對區間嚴密的把控,這個中間沒有誰是絕對性的對,誰又是絕對性的錯,市場是個提款機,也是個收割機.

1900/1/1 0:00:00
Web3.0三年計劃與啟迪之星Filecoin_WEB3

2018年,圈內對真正的區塊鏈技術知之甚少,大多圍繞加密通證展開討論,號稱顛覆式創新的區塊鏈,卻沒有充滿顛覆性的APP或開發框架,行業亟需出現喚起行業生機的探路者.

1900/1/1 0:00:00
ads