Shark閃跌 99% Fork了Bunny的代碼還Fork了它的攻擊_SHA:ANC

這一周，遭到閃電貸攻擊的 DeFi 協議的幣價，就像 5 月的天氣--說崩就崩。在眼下，頻繁的閃電貸攻擊再次上演，一周接連幾個協議的代幣價格險些歸零，涉及到的損失金額數百上千萬，DeFi 協議開發者真的在頻遭攻擊后提升對代碼安全的重視了嗎？

北京時間 5 月 24 日，PeckShield 「派盾」預警顯示，Fork 收益聚合器 PancakeBunny 的 DeFi 協議 AutoShark Finance 遭到閃電貸攻擊，受攻擊事件的影響，Shark 的價格閃崩，跌幅短時達到 99%。

Revolut任命James Shanahan為新加坡分部CEO，負責亞洲業務增長:加密友好的數字銀行服務Revolut周二宣布，已對新加坡團隊進行了多項高層任命，其中James Shanahan被選為新加坡業務的首席執行官，將負責領導這家金融科技公司亞洲業務的增長。據悉，Shanahan之前是Singapore Life的首席運營官（COO）。（Finance Magnates）[2020/5/12]

動態 | Shade勒索病入侵超過2000個CMS站點 要價0.085比特幣:騰訊御見威脅情報中心監測發現，從2018年10月份開始惡意JS電子郵件附件數量持續增長。經分析發現，攻擊者通過發送釣魚郵件，誘導受害者打開并運行附件中的惡意JS腳本，進而下載Shade（幽靈）勒索病。該勒索病會下載CMS暴力破解工具入侵Wordpress、Drupal、Joomla、Dle等CMS站點，之后再通過這些被入侵的站點繼續傳播Shade（幽靈）勒索病。截止目前，已有超過2000個CMS站點遭到入侵。攻擊者提供了郵箱和Tor網絡兩種方式讓受害者與其聯系獲取解密方法，解密要價0.085比特幣（折合人民幣約2000元）。[2019/2/1]

PeckShield 「派盾」第一時間追蹤并分析發現，此次攻擊手法與 5 天前遭到閃電貸攻擊的 PancakeBunny 的攻擊手段相似。

聲音 | 比特幣ABC開發人員：新別名地址系統Cashaccount缺乏隱私性:據Bitcoin.com消息，比特幣ABC首席開發人員Amaury Sechet最近在Twitter發文表示，新的BCH驅動的別名地址系統Cashaccount缺乏隱私性。而Cashaccount創建者Jonathan Silverblood回應稱同意Sechet的觀點，因為創始人認為他的項目將導致更多的BCH用戶重用比特幣地址。這對于隱私是不利的，因為重用的地址可用于發現用戶可能不希望披露的財務信息。為解決潛在的隱私缺失問題，Silverblood要求Sechet與Openbazaar開發者Chris Pacia就隱形密鑰進行合作，或協助開發BIP-47。[2019/1/4]

據 AutoShark Finance 介紹，它基于 BSC 鏈上 交易量 Top 3 ?的去中心化交易所 PantherSwap，而非 PancakeSwap，這使得它幸免于 PancakeBunny 的攻擊。

用戶可在 PantherSwap 上做市，獲取的 LP 代幣憑證，可以放入 AutoShark Finance 中產生復利收益。不幸的是，它沒有逃過 Fork PancakeBunny?代碼帶來的同源漏洞攻擊。

PeckShield 「派盾」簡述攻擊過程：

攻擊者從 PancakeSwap 借出 10 萬 BNB 的閃電貸，并將其中 5 萬 BNB 兌換為 SHARK token，將剩余的 5 萬 BNB 和兌換的 SHARK token 存入 PantherSwap 中增加流動性，獲得對應的 LP Token；調用 getReward() 函數，流動性大量注入，抬高了 LP token 的價值，攻擊者獲得獎勵 1 億 SHARK 的獎勵，攻擊者抽離流動性后返還借出的閃電貸，完成攻擊。隨后，攻擊者通過 Nerve（Angswap）跨鏈橋將它們分批次轉換為 ETH，PeckShield「派盾」旗下的反洗錢態勢感知系統 CoinHolmes 將持續監控轉移的資產動態。

在 PancakeBunny 遭到閃電貸攻擊后，AutoShark Finance 曾發文分析 PancakeBunny 的攻擊原理，并強調了他們對安全的重視度：“我們共做了 4 次代碼審計，其中 2 次正在進行中。”

同類 DeFi 協議被攻擊后，協議開發者有沒有真的及時檢查自己的合約是否也存在類似的漏洞？是否提升了對于協議安全的重視度？從 AutoShark Finance 被攻擊的事件來看，似乎還遠遠不夠。

PeckShield 「派盾」相關安全負責人表示：“從已知的漏洞下手是攻擊者在尚在發展的 DeFi 領域常用的覓食方法，對于 DeFi 協議安全的重視，不是嘴上說說而已，而是要做到吾日三省代碼：協議上線前有沒有做靜態審計？其他協議遭到攻擊后，有沒有自查代碼，檢查是否出現類似漏洞？交互的協議有沒有安全風險？”

此外，PeckShield 「派盾」提示投資者，在某一 DeFi 協議遭到攻擊后，需加強對同類協議的關注，避免同源風險，當遭到攻擊后其幣價發生暴跌時，建議投資者不要輕易去搶反彈

Tags：SHAANCPANARKShark LockWaterfall Governance TokenPANGO幣MARKGOAT

芝麻開門交易所下載