UNN:又一打脸现场：Fork Bunny的Merlin损失240ETH

妖怪已经从瓶子里跑出来了？我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录，发现了 Merlin Labs 同源攻击的一些蛛丝马迹。

2021 年 5 月 20 日，一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值，获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日，PeckShield「派盾」预警发现，Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。

派盾：又一套利者通过Ankr漏洞获利约350万美元，获利资金已转入币安?:12月2日消息，安全公司派盾在推特上表示，一名社区贡献者发现0x9bae开头地址通过Ankr漏洞获利约350万美元，且已将获利资金，约187万枚Binance-Peg BUSD与163万枚Binance-Peg USDC转入币安。

此前消息，0x8d11开头的地址借助Ankr漏洞用10枚BNB换得1550万枚BUSD。[2022/12/2 21:18:09]

2021 年 5 月 26 日，就在 AutoShark Finance 遭到攻击 24 小时后，PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录，发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。

PeckShield：DeFi协议MerlinLabs遭到攻击，是PancakeBunny的又一同源攻击:5月26日消息，PeckShield“派盾”预警显示，DeFi收益聚合器MerlinLabs遭到攻击，此次攻击手法与5天前遭到闪电贷攻击的PancakeBunny的攻击手段相似，损失200ETH。[2021/5/26 22:46:25]

所有上述三次攻击都有两个类似特征，攻击者盯上了 Fork PancakeBunny 的收益聚合器；攻击者完成攻击后，通过 Nerve（Anyswap）跨链桥将它们分批次转换为 ETH。

动态 | 又一推特粉丝过万分析师的加密视频被YouTube删除:拥有1.35万粉丝的加密货币分析师The Moon今日发推称，自己也已经受到“YouTube删除加密视频”风波的影响。其于2019年1月27日发布的一段视频现已显示“违规”，因为它被定性为“有害和危险的内容”。他表示：“可不嘛，比特币对银行来说就是有害和危险的，但删视频这事可真是够荒谬的。”目前该事件已愈演愈烈，多位业内大V都对YouTube此举表达了不满。[2019/12/25]

北卡罗来纳州向又一家在美国出售未注册证券的加密货币公司发出停止令:3月2日，自两月前对Bitconnect签署了停止令后，北卡罗来纳州国务卿证券部对欧洲加密货币公司PowerMining Pool发布了临时停止令，该公司同样被认为在美国出售未经注册的证券。据官方文件，PowerMining Pool采用了有问题的销售策略，其在北卡罗来纳州的活动违反了国家的“证券法”，其商业行为“直接威胁，并造成无法挽回的公共伤害”。PMP声称为比特币出售“股份”，并代表其股东挖掘七种不同的加密货币。该公司的北卡罗来纳州分支机构还使用了一系列方法来推销这一销售，其中包括在社交媒体平台YouTube，Facebook，Instagram，甚至是本地渠道发布广告，向投资者许以高额回报。[2018/3/7]

有意思的是，在 PancakeBunny 遭到攻击后，Merlin Labs 也发文表示，Merlin 通过检查 Bunny 攻击事件的漏洞，不断通过细节反复执行代码的审核，为潜在的可能性采取了额外的预防措施。此外，Merlin 开发团队对此类攻击事件提出了解决方案，可以防止类似事件在 Merlin 身上发生。同时，Merlin 强调用户的安全是他们的头等大事。

然而，Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者，不幸的是，梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程：

这一次，攻击者没有借闪电贷作为本金，而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿，并获得相应的 LP Token，Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap，获取 CAKE 奖励，并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利；攻击者调用 getReward() 函数，这一步与 BUNNY 的漏洞同源，CAKE 大量注入，使攻击者获得大量 MERLIN 的奖励，攻击者重复操作，最终共计获得 4.9 万 MERLIN 的奖励，攻击者抽离流动性后完成攻击。

随后，攻击者通过 Nerve（Anyswap）跨链桥将它们分批次转换为 ETH，PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。

在这批 BSC DeFi 的浪潮上，如果 DeFi 协议开发者不提高对安全的重视度，不仅会将 BSC 的生态安全置于风险之中，而且会沦为攻击者睥睨的羊毛地。

从 PancakeBunny 接连发生的攻击模仿案来看，攻击者都不需要太高技术和资金的门槛，只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者，就因同源漏洞损失惨重，被嘲笑为“顽固的韭菜地” 。

世界上有两种类型的“游戏“，“有限的游戏“和“无限的游戏“。有限的游戏，其目的在于赢得胜利；无限的游戏，却旨在让游戏永远进行下去。

毫无疑问，无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码，攻击者们的无限游戏将会持续进行下去

标签：UNNBUNBUNNYANCBunnyVersecrazybunny币是什么时候出bunny币2023年5月价格回顾Robo Inu Finance

UNI热门资讯