UNN:又一打脸现场：Fork Bunny的Merlin损失240ETH

妖怪已经从瓶子里跑出来了？我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录，发现了 Merlin Labs 同源攻击的一些蛛丝马迹。

2021 年 5 月 20 日，一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值，获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日，PeckShield「派盾」预警发现，Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。

嘉楠科技面临又一起集体诉讼:嘉楠科技面临又一起集体诉讼。律师事务所Rosen代表嘉楠股票投资者对嘉楠科技首次公开募股（IPO）提起了诉讼。该律师事务所声称，由于在IPO过程中未能披露许多问题，导致投资者因其虚假和误导性陈述而蒙受了损失。（Cointelegraph）[2020/3/5]

2021 年 5 月 26 日，就在 AutoShark Finance 遭到攻击 24 小时后，PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录，发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。

安全公司：PlusToken又一涉案地址开始转账:北京链安Chainsmap监测系统发现，15pyB7开头的PlusToken涉案地址于北京时间3月5日上午9:27分开始转账，其中7023BTC打入到一个新的地址，这也是该地址自从去年9月20日之后首次转账。[2020/3/5]

所有上述三次攻击都有两个类似特征，攻击者盯上了 Fork PancakeBunny 的收益聚合器；攻击者完成攻击后，通过 Nerve（Anyswap）跨链桥将它们分批次转换为 ETH。

声音 | 世界经济论坛创始人：区块链是第四次工业革命的又一代表性成果:据经济参考报消息，在近日举行的第十二次夏季达沃斯论坛上，世界经济论坛创始人兼执行主席克劳斯·施瓦布表示，区块链是第四次工业革命的又一代表性成果。预计到2025年之前，全球GDP总量的10％将使用区块链技术储存。当前，众多知名企业、投资人密切关注区块链动向。他们期待借助区块链技术，改善传统业务流程，创造崭新的业务模式。[2018/9/21]

有意思的是，在 PancakeBunny 遭到攻击后，Merlin Labs 也发文表示，Merlin 通过检查 Bunny 攻击事件的漏洞，不断通过细节反复执行代码的审核，为潜在的可能性采取了额外的预防措施。此外，Merlin 开发团队对此类攻击事件提出了解决方案，可以防止类似事件在 Merlin 身上发生。同时，Merlin 强调用户的安全是他们的头等大事。

加密货币将成为离婚夫妇又一个需要解决的财产分割问题:目前仍有许多理由让各国政府不得不对加密货币采取监管措施，当中可能会涉及到、利用加密货币逃税等非法活动。现在又多了一个理由：离婚夫妇的财产分割。据悉 ，英国律师事务所Royds Withy King披露，眼下他们至少已经为不下三对离婚夫妇提供关于加密货币的咨询服务。其中一对离婚夫妇的案子因为其货币的高价值性–等同于60万英镑（折合人民币约为533万）尤为突出。[2018/2/15]

然而，Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者，不幸的是，梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程：

这一次，攻击者没有借闪电贷作为本金，而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿，并获得相应的 LP Token，Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap，获取 CAKE 奖励，并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利；攻击者调用 getReward() 函数，这一步与 BUNNY 的漏洞同源，CAKE 大量注入，使攻击者获得大量 MERLIN 的奖励，攻击者重复操作，最终共计获得 4.9 万 MERLIN 的奖励，攻击者抽离流动性后完成攻击。

随后，攻击者通过 Nerve（Anyswap）跨链桥将它们分批次转换为 ETH，PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。

在这批 BSC DeFi 的浪潮上，如果 DeFi 协议开发者不提高对安全的重视度，不仅会将 BSC 的生态安全置于风险之中，而且会沦为攻击者睥睨的羊毛地。

从 PancakeBunny 接连发生的攻击模仿案来看，攻击者都不需要太高技术和资金的门槛，只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者，就因同源漏洞损失惨重，被嘲笑为“顽固的韭菜地” 。

世界上有两种类型的“游戏“，“有限的游戏“和“无限的游戏“。有限的游戏，其目的在于赢得胜利；无限的游戏，却旨在让游戏永远进行下去。

毫无疑问，无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码，攻击者们的无限游戏将会持续进行下去

标签：UNNBUNNYBUNCAKETunnel ProtocolBunny Girl UniverseNOBUNAGAPancakeBunny

抹茶交易所热门资讯