妖怪已經從瓶子里跑出來了?我們剖析了PancakeBunny和AutoShark的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄,發現了MerlinLabs同源攻擊的一些蛛絲馬跡。
2021年5月20日,一群不知名的攻擊者通過調用函數getReward()抬高LPtoken的價值,獲得額外的價值4,500萬美元的BUNNY獎勵。5月25日,PeckShield「派盾」預警發現,ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源閃電貸攻擊。
2021年5月26日,就在AutoSharkFinance遭到攻擊24小時后,PeckShield「派盾」安全人員通過剖析PancakeBunny和AutoShark攻擊原理和攻擊者的鏈上轉賬記錄,發現了ForkPancakeBunny的MerlinLabs遭到同源攻擊。
安全公司:PlusToken又一涉案地址開始轉賬:北京鏈安Chainsmap監測系統發現,15pyB7開頭的PlusToken涉案地址于北京時間3月5日上午9:27分開始轉賬,其中7023BTC打入到一個新的地址,這也是該地址自從去年9月20日之后首次轉賬。[2020/3/5]
所有上述三次攻擊都有兩個類似特征,攻擊者盯上了ForkPancakeBunny的收益聚合器;攻擊者完成攻擊后,通過Nerve跨鏈橋將它們分批次轉換為ETH。
金色財經現場報道 現代密碼學之父:近幾年是密碼學的又一次復興:金色財經現場報道,今日在Coindesk 2018共識會議上,現代密碼學之父,圖靈獎得主,Cryptic Labs首席科學家Whitfield Diffie表示,最近幾年是密碼學的又一次復興,區塊鏈是密碼學方面的重新對焦。他表示喜歡“引入市場力量”的說法, 從市場力量的角度看待密碼學的發展可能是最好的。Diffie還稱贊了比特幣創始人Satoshi,他說:“多年來密碼學領域的許多人都想到如何發展金錢技術,在Satoshi之前沒有人取得成功。”[2018/5/15]
有意思的是,在PancakeBunny遭到攻擊后,MerlinLabs也發文表示,Merlin通過檢查Bunny攻擊事件的漏洞,不斷通過細節反復執行代碼的審核,為潛在的可能性采取了額外的預防措施。此外,Merlin開發團隊對此類攻擊事件提出了解決方案,可以防止類似事件在Merlin身上發生。同時,Merlin強調用戶的安全是他們的頭等大事。
又一家銀行禁止使用銀行卡購買比特幣:加拿大豐業銀行(Scotiabank)在發給客戶的郵件中表示,客戶將不能使用信用卡和借記卡購買加密貨幣。電子郵件稱,該銀行采取了這種激進立場是由于“風險和監管因素持續演變”。這個決定似乎只影響了由豐業銀行發行的Visa卡,并不影響常規活期賬戶。[2018/3/8]
然而,Bunny的不幸在Merlin的身上重演。Merlin「梅林」稱它的定位是Bunny「兔子」的挑戰者,不幸的是,梅林的魔法終未逃過兔子的詛咒。
泰國又一交易所即將加入數字貨幣這場“戰役”中:據了解,泰國數字資產交易所大公牛網將于12月16日公測上線,該平臺共有英文、中文、泰文三個版本。雖然最近東南亞針對虛擬貨幣的監管政策信號頻出,但是其中泰國對ICO及虛擬貨幣抱有友好態度,并將監管權交給交易平臺。此次大公牛網宣布該平臺完全屬于合法平臺,也就意味著該交易平臺對其上線的項目擔負監管的使命。[2017/12/13]
PeckShield「派盾」簡述攻擊過程:
這一次,攻擊者沒有借閃電貸作為本金,而是將少量BNB存入PancakeSwap進行流動性挖礦,并獲得相應的LPToken,Merlin的智能合約負責將攻擊者的資產押入PancakeSwap,獲取CAKE獎勵,并將CAKE獎勵直接到CAKE池中進行下一輪的復利;攻擊者調用getReward()函數,這一步與BUNNY的漏洞同源,CAKE大量注入,使攻擊者獲得大量MERLIN的獎勵,攻擊者重復操作,最終共計獲得4.9萬MERLIN的獎勵,攻擊者抽離流動性后完成攻擊。
隨后,攻擊者通過Nerve跨鏈橋將它們分批次轉換為ETH,PeckShield「派盾」旗下的反洗錢態勢感知系統CoinHolmes將持續監控轉移的資產動態。
PeckShield「派盾」提示:ForkPancakeBunny的DeFi協議務必仔細檢查自己的合約是否也存在類似的漏洞,或者尋求專業的審計機構對同類攻擊進行預防和監控,不要淪為下一個「不幸者」。
在這批BSCDeFi的浪潮上,如果DeFi協議開發者不提高對安全的重視度,不僅會將BSC的生態安全置于風險之中,而且會淪為攻擊者睥睨的羊毛地。
從PancakeBunny接連發生的攻擊模仿案來看,攻擊者都不需要太高技術和資金的門檻,只要耐心地將同源漏洞在ForkBunny的DeFi協議上重復試驗就能撈上可觀的一筆。Fork的DeFi協議可能尚未成為Bunny挑戰者,就因同源漏洞損失慘重,被嘲笑為“頑固的韭菜地”。
世界上有兩種類型的“游戲“,“有限的游戲“和“無限的游戲“。有限的游戲,其目的在于贏得勝利;無限的游戲,卻旨在讓游戲永遠進行下去。
毫無疑問,無論ForkBunny的DeFi協議接下來會不會認真自查代碼,攻擊者們的無限游戲將會持續進行下去
Tags:BUNBUNNYUNNCAKEBunicorn Universal Rewardbunny幣怎么樣GKCAKE幣
感謝原作者MomirAmidzic?和合著者DanningSui對文章的支持! 來源:IOSG Uniswapv1和v2實現了簡單的統一XYK定價曲線.
1900/1/1 0:00:00事情的開始看起來就像是一場魯莽的賭注,隨著加密貨幣的走勢逐漸瘋狂,情況看起來也越來越離譜。今年年初,埃隆·馬斯克用特斯拉的15億美元現金購買比特幣,引發各界關注.
1900/1/1 0:00:00對迫在眉睫的全球債務危機的擔憂,使世界頂級對沖基金經理從懷疑比特幣到逐步接受它。橋水創始人RayDalio說,美元即將貶值,貶值幅度會達到1971年的水平,中國正威脅著美元作為世界儲備貨幣的作用.
1900/1/1 0:00:00吳說作者|WS 本期編輯|ColinWu幣價大跌、中國加強監管以及黑客攻擊頻發,幣安智能鏈似乎迎來最為灰暗的數周.
1900/1/1 0:00:00為摸底四川虛擬貨幣“挖礦”相關情況,澎湃新聞了解到,國家能源局四川監管辦公室已下發通知,將于6月2日上午召開小范圍調研座談會.
1900/1/1 0:00:00DeFi領域之所以能煥發如此強勁的生命力和創新力,主要原因之一是人們可以在以太坊上編寫靈活的智能合約,并創建具有可組合性的貨幣積木.
1900/1/1 0:00:00