買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > MATIC > Info

ANC:又一打臉現場:Fork Bunny的Merlin損失240ETH_Lever Finance

Author:

Time:1900/1/1 0:00:00

妖怪已經從瓶子里跑出來了?我們剖析了 PancakeBunny 和 AutoShark 的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄,發現了 Merlin Labs 同源攻擊的一些蛛絲馬跡。

2021 年 5 月 20 日,一群不知名的攻擊者通過調用函數 getReward() 抬高 LP token 的價值,獲得額外的價值 4,500 萬美元的 BUNNY 獎勵。5 月 25 日,PeckShield「派盾」預警發現,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源閃電貸攻擊。

派盾:又一套利者通過Ankr漏洞獲利約350萬美元,獲利資金已轉入幣安?:12月2日消息,安全公司派盾在推特上表示,一名社區貢獻者發現0x9bae開頭地址通過Ankr漏洞獲利約350萬美元,且已將獲利資金,約187萬枚Binance-Peg BUSD與163萬枚Binance-Peg USDC轉入幣安。

此前消息,0x8d11開頭的地址借助Ankr漏洞用10枚BNB換得1550萬枚BUSD。[2022/12/2 21:18:09]

2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻擊 24 小時后,PeckShield「派盾」安全人員通過剖析 PancakeBunny 和 AutoShark 攻擊原理和攻擊者的鏈上轉賬記錄,發現了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻擊。

PeckShield:DeFi協議MerlinLabs遭到攻擊,是PancakeBunny的又一同源攻擊:5月26日消息,PeckShield“派盾”預警顯示,DeFi收益聚合器MerlinLabs遭到攻擊,此次攻擊手法與5天前遭到閃電貸攻擊的PancakeBunny的攻擊手段相似,損失200ETH。[2021/5/26 22:46:25]

所有上述三次攻擊都有兩個類似特征,攻擊者盯上了 Fork PancakeBunny 的收益聚合器;攻擊者完成攻擊后,通過 Nerve(Anyswap)跨鏈橋將它們分批次轉換為 ETH。

聲音 | 宋清輝:區塊鏈未來有可能會成為又一個“互聯網+”:經濟學家宋清輝發文稱:區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新型應用模式,能夠有效解決去中心化和人與人的信任問題。區塊鏈的建設和運用,將能夠很好地解決農業產業發展、營商環境建設等各個領域,讓城市變得更美好。當前,我國對區塊鏈是持支持和鼓勵態度的,特別是在制度建設、技術研發方面投入了很大的資源,將來勢必會產生積極而廣泛的影響——區塊鏈未來將會更加普及,有可能會成為又一個“互聯網+”。[2019/11/10]

分析 | 又一POWH3D山寨合約大火 高額手續費模式存疑:據第三方大數據評級機構RatingToken分析,熊市行情低迷,特別是ETH的反彈更是軟弱無力,投資機會稀缺,造成Fomo3D和POWH3D的山寨層出不窮,不過大都曇花一現。DailyDivs自9月2日上線以來交易量和交易金額穩步增長。研究人員深入研究合約代碼發現DailyDivs與之前的爆款游戲最大區別在于以下幾點:

1、買和賣的手續費分紅高達25%,相比POWH3D的10%提高了很多;

2、使用三層推薦體系,推薦費用分配比例為5:3:2;

3、DailyDivs是個游戲平臺并且公開合約代碼,但是實際進行的Earn Game和Lotto Game游戲合約代碼是沒有公開,RatingToken團隊提示玩家注意資金風險。詳情見原文鏈接。[2018/9/4]

有意思的是,在 PancakeBunny 遭到攻擊后,Merlin Labs 也發文表示,Merlin 通過檢查 Bunny 攻擊事件的漏洞,不斷通過細節反復執行代碼的審核,為潛在的可能性采取了額外的預防措施。此外,Merlin 開發團隊對此類攻擊事件提出了解決方案,可以防止類似事件在 Merlin 身上發生。同時,Merlin 強調用戶的安全是他們的頭等大事。

然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」稱它的定位是 Bunny「兔子」 的挑戰者,不幸的是,梅林的魔法終未逃過兔子的詛咒。

PeckShield「派盾」簡述攻擊過程:

這一次,攻擊者沒有借閃電貸作為本金,而是將少量 BNB 存入 PancakeSwap 進行流動性挖礦,并獲得相應的 LP Token,Merlin 的智能合約負責將攻擊者的資產押入 PancakeSwap,獲取 CAKE 獎勵,并將 CAKE 獎勵直接到 CAKE 池中進行下一輪的復利;攻擊者調用 getReward() 函數,這一步與 BUNNY 的漏洞同源,CAKE 大量注入,使攻擊者獲得大量 MERLIN 的獎勵,攻擊者重復操作,最終共計獲得 4.9 萬 MERLIN 的獎勵,攻擊者抽離流動性后完成攻擊。

隨后,攻擊者通過 Nerve(Anyswap)跨鏈橋將它們分批次轉換為 ETH,PeckShield「派盾」旗下的反洗錢態勢感知系統 CoinHolmes 將持續監控轉移的資產動態。

在這批 BSC DeFi 的浪潮上,如果 DeFi 協議開發者不提高對安全的重視度,不僅會將 BSC 的生態安全置于風險之中,而且會淪為攻擊者睥睨的羊毛地。

從 PancakeBunny 接連發生的攻擊模仿案來看,攻擊者都不需要太高技術和資金的門檻,只要耐心地將同源漏洞在 Fork Bunny 的 DeFi 協議上重復試驗就能撈上可觀的一筆。Fork 的 DeFi 協議可能尚未成為 Bunny 挑戰者,就因同源漏洞損失慘重,被嘲笑為“頑固的韭菜地” 。

世界上有兩種類型的“游戲“,“有限的游戲“和“無限的游戲“。有限的游戲,其目的在于贏得勝利;無限的游戲,卻旨在讓游戲永遠進行下去。

毫無疑問,無論 Fork Bunny 的 DeFi 協議接下來會不會認真自查代碼,攻擊者們的無限游戲將會持續進行下去

Tags:BUNNYUNNBUNANCBUNNY幣SUNNY價格DebunkLever Finance

MATIC
NFT:一文讀懂基于 Nervos 的 NFT 發行平臺:金色傳說(Golden Legend)_區塊鏈

自今年年初,推特 CEO Jack Dorsey 把他在 2006 年發布的首條推文作為一個 NFT 以超過 290 萬美元的高價賣掉時,「沉寂」了好幾年的 NFT 再次被市場引爆.

1900/1/1 0:00:00
區塊鏈:誠實性證明POH:可驗證計算的可實現概率解_BIN

隨著互聯網,區塊鏈技術的快速發展,產業鏈繁榮,平臺經濟發展迅速,相關大型企業不斷涌現,創業者頻頻涌入;共享經濟在當下的全球市場發展得也十分火熱,并吸引資本大量進入.

1900/1/1 0:00:00
ETH:觀點:Uniswap V3 LP 本質是在做空波動率_ETHY

在當前市場高波動率階段,Uniswap V3 的流動提供者會面臨更大的風險。 概要: 筆者認為 Uniswap V3 取名如果改成 Uniswap PRO 或許會更合適,筆者觀點是 V3 不是.

1900/1/1 0:00:00
比特幣:美元全球儲備貨幣地位遭削弱 比特幣能否對其構成嚴峻挑戰?_Italo

自第二次世界大戰和布雷頓森林會議結束以來,美元一直是全球儲備貨幣。根據國際貨幣基金組織(IMF)的數據,如今,超過59%的外國銀行儲備以美元計價.

1900/1/1 0:00:00
ETH:江卓爾:穩定壓倒一切_btc一個多少人民幣

學習最基本的ZZ常識,對投資大有好處1、監管的最高,最根本目的是維持社會穩定,也就是【穩定壓倒一切】,只要社會不亂,大家都在干活,賺多賺少,虧多虧少,都只是暫時的.

1900/1/1 0:00:00
BTC:金色前哨 | 穩定電力供應 伊朗總統宣布9月22日之前禁止加密開采_BTC

5月26日消息,伊朗總統宣布,9月22日之前禁止加密開采。近日伊朗當地媒體的報道稱,近期伊朗電力供應出現問題,伊朗多地已開始采取輪流斷電的措施,此前還發生過無預警斷電,引發民怨.

1900/1/1 0:00:00
ads