世界上有两种范例的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目标在于赢告捷利;无限的游戏,却旨在让游戏永远举办下去。
又一打脸现场:Fork Bunny的Merlin损失240ETH
魔鬼已经从瓶子里跑出来了?我们分解了 PancakeBunny 和 AutoShark 的闪电贷进攻道理和进攻者的链上转账记录,发明白 Merlin Labs 同源进攻的一些蛛丝马迹。
这一次,进攻者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 举办活动性挖矿,并得到相应的 LP Token,,Merlin 的智能合约认真将进攻者的资产押入 PancakeSwap,获取 CAKE 嘉奖,并将 CAKE 嘉奖直接到 CAKE 池中举办下一轮的复利;进攻者挪用 getReward() 函数,这一步与 BUNNY 的裂痕同源,CAKE 大量注入,使进攻者得到大量 MERLIN 的嘉奖,进攻者反复操纵,最终共计得到 4.9 万 MERLIN 的嘉奖,进攻者抽离活动性后完成进攻。
有意思的是,在 PancakeBunny 遭到进攻后,Merlin Labs 也发文暗示,Merlin 通过查抄 Bunny 进攻事件的裂痕,不绝通过细节重复执行代码的审核,为潜在的大概性采纳了特另外防范法子。另外,Merlin 开拓团队对此类进攻事件提出了办理方案,可以防备雷同事件在 Merlin 身上产生。同时,Merlin 强挪用户的安详是他们的头等大事。
所有上述三次进攻都有两个雷同特征,进攻者盯上了 Fork PancakeBunny 的收益聚合器;进攻者完成进攻后,通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH。
毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会当真自查代码,进攻者们的无限游戏将会一连举办下去
2021 年 5 月 26 日,就在 AutoShark Finance 遭到进攻 24 小时后,PeckShield「派盾」安详人员通过度解 PancakeBunny 和 AutoShark 进攻道理和进攻者的链上转账记录,发明白 Fork PancakeBunny 的 Merlin Labs 遭到同源进攻。
PeckShield「派盾」简述进攻进程:
然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的邪术终未逃过兔子的谩骂。
在这批 BSC DeFi 的海潮上,假如 DeFi 协议开拓者不提高对安详的重视度,不只会将 BSC 的生态安详置于风险之中,并且会沦为进攻者睥睨的羊毛地。
PeckShield「派盾」提示:Fork PancakeBunny 的 DeFi 协议务必仔细查抄本身的合约是否也存在雷同的裂痕,可能寻求专业的审计机构对同类进攻举办防范和监控,不要沦为下一个「不幸者」。
随后,进攻者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反洗钱态势感知系统 CoinHolmes 将一连监控转移的资产动态。
2021 年 5 月 20 日,一群不知名的进攻者通过挪用函数 getReward() 举高 LP token 的代价,得到特另外代价 4,500 万美元的 BUNNY 嘉奖。5 月 25 日,PeckShield「派盾」预警发明,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷进攻。
从 PancakeBunny 接连产生的进攻仿照案来看,进攻者都不需要太高技能和资金的门槛,只要耐性地将同源裂痕在 Fork Bunny 的 DeFi 协议上反复试验就能捞上可观的一笔。Fork 的 DeFi 协议大概尚未成为 Bunny 挑战者,就因同源裂痕损失惨重,被讥笑为“顽固的韭菜地” 。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。