妖怪已經從瓶子里跑出來了?我們剖析了PancakeBunny和AutoShark的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄,發現了MerlinLabs同源攻擊的一些蛛絲馬跡。
2021年5月20日,一群不知名的攻擊者通過調用函數getReward()抬高LPtoken的價值,獲得額外的價值4,500萬美元的BUNNY獎勵。5月25日,PeckShield「派盾」預警發現,ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源閃電貸攻擊。
2021年5月26日,就在AutoSharkFinance遭到攻擊24小時后,PeckShield「派盾」安全人員通過剖析PancakeBunny和AutoShark攻擊原理和攻擊者的鏈上轉賬記錄,發現了ForkPancakeBunny的MerlinLabs遭到同源攻擊。
派盾:又一套利者通過購入BAYC以獲取其質押的APE并出售:12月6日,據派盾檢測數據顯示,套利者(0x8237開頭地址)從DYDX平臺利用閃電貸借出90枚ETH,并購入BAYC#1633,同時獲得了該NFT下質押的10,000枚ApeCoin;套利者后又將所得ApeCoin兌換為約32.68枚ETH,并將BAYC#1633以65ETH價格出售。
注:如果用戶將APE質押在NFT池中,一旦出售該NFT,用戶將同時失去質押的APE所有權。[2022/12/6 21:26:06]
所有上述三次攻擊都有兩個類似特征,攻擊者盯上了ForkPancakeBunny的收益聚合器;攻擊者完成攻擊后,通過Nerve跨鏈橋將它們分批次轉換為ETH。
分析師:RSI指數顯示,BTC或將迎來又一次大規模回調:加密貨幣技術分析師Eric Thies今日在推特上表,比特幣市場最近的反彈未能將其RSI指數(趨勢強度的衡量指標)推高至看漲區間。Thies分享了比特幣長期RSI趨勢的四張圖表,并稱:“宏觀RSI(時間)框架整體看空,表明BTC在未來一周經歷最后一次潛在的上漲之后,可能會出現下跌。”(NewsBTC)[2020/4/12]
動態 | 南威軟件:區塊鏈證照通是公司在電子證照領域的又一創新成果:南威軟件(SH603636)在回答投資者提問時表示,區塊鏈證照通是公司在電子證照領域的又一創新成果,政務中臺是公司未來在“數字政府”領域的重要支撐平臺,與阿里經濟體的深度合作,將有利于公司積極運用阿里經濟體基礎技術方面的核心能力,增強公司在“數字政府”領域的核心競爭力。[2019/9/18]
有意思的是,在PancakeBunny遭到攻擊后,MerlinLabs也發文表示,Merlin通過檢查Bunny攻擊事件的漏洞,不斷通過細節反復執行代碼的審核,為潛在的可能性采取了額外的預防措施。此外,Merlin開發團隊對此類攻擊事件提出了解決方案,可以防止類似事件在Merlin身上發生。同時,Merlin強調用戶的安全是他們的頭等大事。
泰國又一交易所即將加入數字貨幣這場“戰役”中:據了解,泰國數字資產交易所大公牛網將于12月16日公測上線,該平臺共有英文、中文、泰文三個版本。雖然最近東南亞針對虛擬貨幣的監管政策信號頻出,但是其中泰國對ICO及虛擬貨幣抱有友好態度,并將監管權交給交易平臺。此次大公牛網宣布該平臺完全屬于合法平臺,也就意味著該交易平臺對其上線的項目擔負監管的使命。[2017/12/13]
然而,Bunny的不幸在Merlin的身上重演。Merlin「梅林」稱它的定位是Bunny「兔子」的挑戰者,不幸的是,梅林的魔法終未逃過兔子的詛咒。
PeckShield「派盾」簡述攻擊過程:
這一次,攻擊者沒有借閃電貸作為本金,而是將少量BNB存入PancakeSwap進行流動性挖礦,并獲得相應的LPToken,Merlin的智能合約負責將攻擊者的資產押入PancakeSwap,獲取CAKE獎勵,并將CAKE獎勵直接到CAKE池中進行下一輪的復利;攻擊者調用getReward()函數,這一步與BUNNY的漏洞同源,CAKE大量注入,使攻擊者獲得大量MERLIN的獎勵,攻擊者重復操作,最終共計獲得4.9萬MERLIN的獎勵,攻擊者抽離流動性后完成攻擊。
隨后,攻擊者通過Nerve跨鏈橋將它們分批次轉換為ETH,PeckShield「派盾」旗下的反洗錢態勢感知系統CoinHolmes將持續監控轉移的資產動態。
PeckShield「派盾」提示:ForkPancakeBunny的DeFi協議務必仔細檢查自己的合約是否也存在類似的漏洞,或者尋求專業的審計機構對同類攻擊進行預防和監控,不要淪為下一個「不幸者」。
在這批BSCDeFi的浪潮上,如果DeFi協議開發者不提高對安全的重視度,不僅會將BSC的生態安全置于風險之中,而且會淪為攻擊者睥睨的羊毛地。
從PancakeBunny接連發生的攻擊模仿案來看,攻擊者都不需要太高技術和資金的門檻,只要耐心地將同源漏洞在ForkBunny的DeFi協議上重復試驗就能撈上可觀的一筆。Fork的DeFi協議可能尚未成為Bunny挑戰者,就因同源漏洞損失慘重,被嘲笑為“頑固的韭菜地”。
世界上有兩種類型的“游戲“,“有限的游戲“和“無限的游戲“。有限的游戲,其目的在于贏得勝利;無限的游戲,卻旨在讓游戲永遠進行下去。
毫無疑問,無論ForkBunny的DeFi協議接下來會不會認真自查代碼,攻擊者們的無限游戲將會持續進行下去
Tags:BUNBUNNYUNNCAKEBunny InuCRAZYBUNNYPEPERUNNERCake Monster
1.金色觀察丨比特幣挖礦難度下降16%市場感受命運翻轉5月21日,中共中央局委員、國務院副總理、金融委主任劉鶴主持召開國務院金融穩定發展委員會第五十一次會議.
1900/1/1 0:00:00區塊鏈太火了,人人都想蹭熱度,pyq的區塊鏈人眼見中財某教授號稱2008年開始追蹤比特幣和虛擬貨幣,一時間激起歡樂浪花無數。不過,這絲毫不影響日子照常,帽子照常.
1900/1/1 0:00:00文|ZachPandl,?GlobalFX聯合主席 譯|Bite@火星財經 雖然比特幣被許多投資機構接納,但很多傳統老派投資者仍然很難理解為什么數字資產具有價值.
1900/1/1 0:00:00金色財經區塊鏈6月1日訊??“頭門溝”Mt.Gox的民事理賠補償案件又邁進了一步,部分受害者可能可以獲得補償,他們在十多年前的黑客攻擊中損失了資金.
1900/1/1 0:00:00頭條 ▌拜登將提出規模為6萬億美元的預算方案以提振基建美國紐約時報獲取的一份文件顯示,美國總統拜登周五將提出一項規模為6萬億美元的預算,這將使美國聯邦支出達到二戰以來最高的持續水平.
1900/1/1 0:00:00根據美國勞工部近期數據,4月份,美國CPI同比大增4.2%,超出3.6%的市場預期水平,增速創2008年9月以來新高;環比增長0.8%,亦創2008年6月以來最高.
1900/1/1 0:00:00