木星链 木星链
Ctrl+D收藏木星链
首页 > UNI > 正文

UNN:又一打脸现场:Fork Bunny的Merlin损失240ETH

作者:

时间:1900/1/1 0:00:00

妖怪已经从瓶子里跑出来了?我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录,发现了 Merlin Labs 同源攻击的一些蛛丝马迹。

2021 年 5 月 20 日,一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值,获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日,PeckShield「派盾」预警发现,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。

派盾:又一套利者通过Ankr漏洞获利约350万美元,获利资金已转入币安?:12月2日消息,安全公司派盾在推特上表示,一名社区贡献者发现0x9bae开头地址通过Ankr漏洞获利约350万美元,且已将获利资金,约187万枚Binance-Peg BUSD与163万枚Binance-Peg USDC转入币安。

此前消息,0x8d11开头的地址借助Ankr漏洞用10枚BNB换得1550万枚BUSD。[2022/12/2 21:18:09]

2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻击 24 小时后,PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录,发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。

PeckShield:DeFi协议MerlinLabs遭到攻击,是PancakeBunny的又一同源攻击:5月26日消息,PeckShield“派盾”预警显示,DeFi收益聚合器MerlinLabs遭到攻击,此次攻击手法与5天前遭到闪电贷攻击的PancakeBunny的攻击手段相似,损失200ETH。[2021/5/26 22:46:25]

所有上述三次攻击都有两个类似特征,攻击者盯上了 Fork PancakeBunny 的收益聚合器;攻击者完成攻击后,通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH。

动态 | 又一推特粉丝过万分析师的加密视频被YouTube删除:拥有1.35万粉丝的加密货币分析师The Moon今日发推称,自己也已经受到“YouTube删除加密视频”风波的影响。其于2019年1月27日发布的一段视频现已显示“违规”,因为它被定性为“有害和危险的内容”。他表示:“可不嘛,比特币对银行来说就是有害和危险的,但删视频这事可真是够荒谬的。”目前该事件已愈演愈烈,多位业内大V都对YouTube此举表达了不满。[2019/12/25]

北卡罗来纳州向又一家在美国出售未注册证券的加密货币公司发出停止令:3月2日,自两月前对Bitconnect签署了停止令后,北卡罗来纳州国务卿证券部对欧洲加密货币公司PowerMining Pool发布了临时停止令,该公司同样被认为在美国出售未经注册的证券。据官方文件,PowerMining Pool采用了有问题的销售策略,其在北卡罗来纳州的活动违反了国家的“证券法”,其商业行为“直接威胁,并造成无法挽回的公共伤害”。PMP声称为比特币出售“股份”,并代表其股东挖掘七种不同的加密货币。该公司的北卡罗来纳州分支机构还使用了一系列方法来推销这一销售,其中包括在社交媒体平台YouTube,Facebook,Instagram,甚至是本地渠道发布广告,向投资者许以高额回报。[2018/3/7]

有意思的是,在 PancakeBunny 遭到攻击后,Merlin Labs 也发文表示,Merlin 通过检查 Bunny 攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin 开发团队对此类攻击事件提出了解决方案,可以防止类似事件在 Merlin 身上发生。同时,Merlin 强调用户的安全是他们的头等大事。

然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程:

这一次,攻击者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿,并获得相应的 LP Token,Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap,获取 CAKE 奖励,并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利;攻击者调用 getReward() 函数,这一步与 BUNNY 的漏洞同源,CAKE 大量注入,使攻击者获得大量 MERLIN 的奖励,攻击者重复操作,最终共计获得 4.9 万 MERLIN 的奖励,攻击者抽离流动性后完成攻击。

随后,攻击者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。

在这批 BSC DeFi 的浪潮上,如果 DeFi 协议开发者不提高对安全的重视度,不仅会将 BSC 的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。

从 PancakeBunny 接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地” 。

世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。

毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去

标签:UNNBUNBUNNYANCBunnyVersecrazybunny币是什么时候出bunny币2023年5月价格回顾Robo Inu Finance

UNI热门资讯
KSM:首发 | 欧易OKEx情报局:Kusama平行链开拍在即 深度解读各平行链竞拍策略

本文由欧易OKEX原创,授权金色财经首发。期待大半年的Kusama的平行链竞拍,终于要与我们见面了,最终竞拍方案很可能会在今天的Polkadot Decoded大会上公布,那么作为KSM代币的持.

1900/1/1 0:00:00
DEF:被称为“将颠覆现有金融”的DeFi有哪些值得学习的经验?(下)

编者注:智能合约的出现为区块链的发展提供了重要的必要条件,自此区块链世界开始有了丰富的应用。DeFi是区块链应用落地不可忽略的重要组成部分,很多大型机构和优秀的投资者围绕DeFi的讨论从未停歇.

1900/1/1 0:00:00
NFT:如何给 NFT 估值?

目录NFT?简史收藏品共识NFT?的价值概念功能价值-实用性-所有权历史-数字稀缺性-供求关系-未来价值-流动性溢价享受价值估值挑战-高度投机的市场-缺乏流动性-NFT?多样性-鲸鱼和做市商-市.

1900/1/1 0:00:00
BTC:金色趋势丨知史鉴今 牛市何时见顶?

目前BTC是否已经见牛市终极大顶?我们可以看看BTC2010-2021目前长期走势,下方为对应的RSI曲线走势,研究可以看出,在BTC历史上前三轮牛市中,2011年、2013年和2017年牛市.

1900/1/1 0:00:00
比特币:美元全球储备货币地位遭削弱 比特币能否对其构成严峻挑战?

自第二次世界大战和布雷顿森林会议结束以来,美元一直是全球储备货币。根据国际货币基金组织(IMF)的数据,如今,超过59%的外国银行储备以美元计价.

1900/1/1 0:00:00
比特币:站队加密货币、组建挖矿委员会 取消比特币支付后马斯克向加密社区「表忠心」?

5 月 13 日,特斯拉和 SpaceX 首席执行官埃隆·马斯克在推特上发文:「出于比特币对环境影响担忧,特斯拉暂停比特币付款.

1900/1/1 0:00:00