BUNNY:又一打脸现场：Fork Bunny的Merlin损失240ETH_bunicorn币

妖怪已经从瓶子里跑出来了？我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录，发现了 Merlin Labs 同源攻击的一些蛛丝马迹。

2021 年 5 月 20 日，一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值，获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日，PeckShield「派盾」预警发现，Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。

动态 | 币安被盗BTC中又一关键地址异动，黑客持续中:据PeckShield数字资产护航系统（AML）最新数据显示，继昨天币安被盗7,074枚BTC的其中1个包含1,060枚BTC bc1q2rdpy开头的地址密集后，今天下午16时54分，另一存放有1,060枚BTC 16SMGihY9开头的地址也出现异动。黑客又以不断切割、分散的方式，频繁操作了数百笔交易，直至新地址上最小额仅有0.78枚BTC。截至目前，币安被盗7,074枚BTC分散后的7个主要地址中，已有2个开始密集，其中大部分小额地址存成功可能。[2019/6/15]

2021 年 5 月 26 日，就在 AutoShark Finance 遭到攻击 24 小时后，PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录，发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。

动态 | PeckShield 安全播报: “假EOS”攻击再出现 又一EOS竞猜类游戏遭黑客攻击:据 PeckShield 态势感知平台11月21日数据显示：今天15:43 - 18:31之间，黑客（kuybupeykieh）向EOS竞猜游戏合约（vegasgame111）发起攻击，共计获利数百个EOS，追踪链上数据发现，为了防止资金流向被追踪，该黑客采用多达几十次的创建子账号操作来顺序转移所获资产。PeckShield 安全人员分析发现，该黑客利用的是“假EOS”漏洞实施攻击，这一漏洞在10月份较为普遍，不过随着多数开发者合约开发趋于规范，类似攻击事件已经很少。一些较小规模的游戏还可能还存在类似漏洞，PeckShield在此提醒广大游戏开发者和游戏玩家，警惕安全风险。[2018/11/21]

所有上述三次攻击都有两个类似特征，攻击者盯上了 Fork PancakeBunny 的收益聚合器；攻击者完成攻击后，通过 Nerve（Anyswap）跨链桥将它们分批次转换为 ETH。

金色财经现场报道 现代密码学之父：近几年是密码学的又一次复兴:金色财经现场报道，今日在Coindesk 2018共识会议上，现代密码学之父，图灵奖得主，Cryptic Labs首席科学家Whitfield Diffie表示，最近几年是密码学的又一次复兴，区块链是密码学方面的重新对焦。他表示喜欢“引入市场力量”的说法， 从市场力量的角度看待密码学的发展可能是最好的。Diffie还称赞了比特币创始人Satoshi，他说：“多年来密码学领域的许多人都想到如何发展金钱技术，在Satoshi之前没有人取得成功。”[2018/5/15]

泰国又一交易所即将加入数字货币这场“战役”中:据了解，泰国数字资产交易所大公牛网将于12月16日公测上线，该平台共有英文、中文、泰文三个版本。虽然最近东南亚针对虚拟货币的监管政策信号频出，但是其中泰国对ICO及虚拟货币抱有友好态度，并将监管权交给交易平台。此次大公牛网宣布该平台完全属于合法平台，也就意味着该交易平台对其上线的项目担负监管的使命。[2017/12/13]

有意思的是，在 PancakeBunny 遭到攻击后，Merlin Labs 也发文表示，Merlin 通过检查 Bunny 攻击事件的漏洞，不断通过细节反复执行代码的审核，为潜在的可能性采取了额外的预防措施。此外，Merlin 开发团队对此类攻击事件提出了解决方案，可以防止类似事件在 Merlin 身上发生。同时，Merlin 强调用户的安全是他们的头等大事。

然而，Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者，不幸的是，梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程：

这一次，攻击者没有借闪电贷作为本金，而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿，并获得相应的 LP Token，Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap，获取 CAKE 奖励，并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利；攻击者调用 getReward() 函数，这一步与 BUNNY 的漏洞同源，CAKE 大量注入，使攻击者获得大量 MERLIN 的奖励，攻击者重复操作，最终共计获得 4.9 万 MERLIN 的奖励，攻击者抽离流动性后完成攻击。

随后，攻击者通过 Nerve（Anyswap）跨链桥将它们分批次转换为 ETH，PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。

在这批 BSC DeFi 的浪潮上，如果 DeFi 协议开发者不提高对安全的重视度，不仅会将 BSC 的生态安全置于风险之中，而且会沦为攻击者睥睨的羊毛地。

从 PancakeBunny 接连发生的攻击模仿案来看，攻击者都不需要太高技术和资金的门槛，只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者，就因同源漏洞损失惨重，被嘲笑为“顽固的韭菜地” 。

世界上有两种类型的“游戏“，“有限的游戏“和“无限的游戏“。有限的游戏，其目的在于赢得胜利；无限的游戏，却旨在让游戏永远进行下去。

毫无疑问，无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码，攻击者们的无限游戏将会持续进行下去

标签：BUNNYUNNBUNCAKEBunnyCoinbunny币价格怎么掉那么厉害bunicorn币BONUSCAKE

FTT热门资讯