BUNNY:又一打臉現場：Fork Bunny的Merlin損失240ETH_UNN

妖怪已經從瓶子里跑出來了？我們剖析了PancakeBunny和AutoShark的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄，發現了MerlinLabs同源攻擊的一些蛛絲馬跡。

2021年5月20日，一群不知名的攻擊者通過調用函數getReward()抬高LPtoken的價值，獲得額外的價值4,500萬美元的BUNNY獎勵。5月25日，PeckShield「派盾」預警發現，ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源閃電貸攻擊。

2021年5月26日，就在AutoSharkFinance遭到攻擊24小時后，PeckShield「派盾」安全人員通過剖析PancakeBunny和AutoShark攻擊原理和攻擊者的鏈上轉賬記錄，發現了ForkPancakeBunny的MerlinLabs遭到同源攻擊。

繼OSL后又一家小型加密交易所宣布暫停XRP交易:12月23日消息，在美國證券交易委員會（SEC）對Ripple提起訴訟后，已經陸續有一些小型加密交易所開始暫停XRP交易。總部位于芝加哥的數字資產交易所Beaxy Exchange發布通知稱，由于SEC對Ripple提起訴訟，官方已暫停XRP的交易并將等待進一步的消息，同時XRP提款將保持啟用狀態，直至另行通知。而在此前，數字資產平臺OSL已宣布暫停XRP支付和交易服務。（Cryptonews）[2020/12/23 16:17:35]

所有上述三次攻擊都有兩個類似特征，攻擊者盯上了ForkPancakeBunny的收益聚合器；攻擊者完成攻擊后，通過Nerve跨鏈橋將它們分批次轉換為ETH。

分析師：RSI指數顯示，BTC或將迎來又一次大規模回調:加密貨幣技術分析師Eric Thies今日在推特上表，比特幣市場最近的反彈未能將其RSI指數（趨勢強度的衡量指標）推高至看漲區間。Thies分享了比特幣長期RSI趨勢的四張圖表，并稱：“宏觀RSI（時間）框架整體看空，表明BTC在未來一周經歷最后一次潛在的上漲之后，可能會出現下跌。”（NewsBTC）[2020/4/12]

加密貨幣將成為離婚夫婦又一個需要解決的財產分割問題:目前仍有許多理由讓各國政府不得不對加密貨幣采取監管措施，當中可能會涉及到洗錢、利用加密貨幣逃稅等非法活動。現在又多了一個理由：離婚夫婦的財產分割。據悉 ，英國律師事務所Royds Withy King披露，眼下他們至少已經為不下三對離婚夫婦提供關于加密貨幣的咨詢服務。其中一對離婚夫婦的案子因為其貨幣的高價值性–等同于60萬英鎊（折合人民幣約為533萬）尤為突出。[2018/2/15]

有意思的是，在PancakeBunny遭到攻擊后，MerlinLabs也發文表示，Merlin通過檢查Bunny攻擊事件的漏洞，不斷通過細節反復執行代碼的審核，為潛在的可能性采取了額外的預防措施。此外，Merlin開發團隊對此類攻擊事件提出了解決方案，可以防止類似事件在Merlin身上發生。同時，Merlin強調用戶的安全是他們的頭等大事。

泰國又一交易所即將加入數字貨幣這場“戰役”中:據了解，泰國數字資產交易所大公牛網將于12月16日公測上線，該平臺共有英文、中文、泰文三個版本。雖然最近東南亞針對虛擬貨幣的監管政策信號頻出，但是其中泰國對ICO及虛擬貨幣抱有友好態度，并將監管權交給交易平臺。此次大公牛網宣布該平臺完全屬于合法平臺，也就意味著該交易平臺對其上線的項目擔負監管的使命。[2017/12/13]

然而，Bunny的不幸在Merlin的身上重演。Merlin「梅林」稱它的定位是Bunny「兔子」的挑戰者，不幸的是，梅林的魔法終未逃過兔子的詛咒。

PeckShield「派盾」簡述攻擊過程：

這一次，攻擊者沒有借閃電貸作為本金，而是將少量BNB存入PancakeSwap進行流動性挖礦，并獲得相應的LPToken，Merlin的智能合約負責將攻擊者的資產押入PancakeSwap，獲取CAKE獎勵，并將CAKE獎勵直接到CAKE池中進行下一輪的復利；攻擊者調用getReward()函數，這一步與BUNNY的漏洞同源，CAKE大量注入，使攻擊者獲得大量MERLIN的獎勵，攻擊者重復操作，最終共計獲得4.9萬MERLIN的獎勵，攻擊者抽離流動性后完成攻擊。

隨后，攻擊者通過Nerve跨鏈橋將它們分批次轉換為ETH，PeckShield「派盾」旗下的反洗錢態勢感知系統CoinHolmes將持續監控轉移的資產動態。

PeckShield「派盾」提示：ForkPancakeBunny的DeFi協議務必仔細檢查自己的合約是否也存在類似的漏洞，或者尋求專業的審計機構對同類攻擊進行預防和監控，不要淪為下一個「不幸者」。

在這批BSCDeFi的浪潮上，如果DeFi協議開發者不提高對安全的重視度，不僅會將BSC的生態安全置于風險之中，而且會淪為攻擊者睥睨的羊毛地。

從PancakeBunny接連發生的攻擊模仿案來看，攻擊者都不需要太高技術和資金的門檻，只要耐心地將同源漏洞在ForkBunny的DeFi協議上重復試驗就能撈上可觀的一筆。Fork的DeFi協議可能尚未成為Bunny挑戰者，就因同源漏洞損失慘重，被嘲笑為“頑固的韭菜地”。

世界上有兩種類型的“游戲“，“有限的游戲“和“無限的游戲“。有限的游戲，其目的在于贏得勝利；無限的游戲，卻旨在讓游戲永遠進行下去。

毫無疑問，無論ForkBunny的DeFi協議接下來會不會認真自查代碼，攻擊者們的無限游戲將會持續進行下去

Tags：BUNBUNNYUNNCAKEBUNNYCAKERBUNNYSUNNYBPCAKE

幣安app官方下載最新版