妖怪已经从瓶子里跑出来了?我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录,发现了 Merlin Labs 同源攻击的一些蛛丝马迹。
2021 年 5 月 20 日,一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值,获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日,PeckShield「派盾」预警发现,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。
动态 | 币安被盗BTC中又一关键地址异动,黑客持续中:据PeckShield数字资产护航系统(AML)最新数据显示,继昨天币安被盗7,074枚BTC的其中1个包含1,060枚BTC bc1q2rdpy开头的地址密集后,今天下午16时54分,另一存放有1,060枚BTC 16SMGihY9开头的地址也出现异动。黑客又以不断切割、分散的方式,频繁操作了数百笔交易,直至新地址上最小额仅有0.78枚BTC。截至目前,币安被盗7,074枚BTC分散后的7个主要地址中,已有2个开始密集,其中大部分小额地址存成功可能。[2019/6/15]
2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻击 24 小时后,PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录,发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。
动态 | PeckShield 安全播报: “假EOS”攻击再出现 又一EOS竞猜类游戏遭黑客攻击:据 PeckShield 态势感知平台11月21日数据显示:今天15:43 - 18:31之间,黑客(kuybupeykieh)向EOS竞猜游戏合约(vegasgame111)发起攻击,共计获利数百个EOS,追踪链上数据发现,为了防止资金流向被追踪,该黑客采用多达几十次的创建子账号操作来顺序转移所获资产。PeckShield 安全人员分析发现,该黑客利用的是“假EOS”漏洞实施攻击,这一漏洞在10月份较为普遍,不过随着多数开发者合约开发趋于规范,类似攻击事件已经很少。一些较小规模的游戏还可能还存在类似漏洞,PeckShield在此提醒广大游戏开发者和游戏玩家,警惕安全风险。[2018/11/21]
所有上述三次攻击都有两个类似特征,攻击者盯上了 Fork PancakeBunny 的收益聚合器;攻击者完成攻击后,通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH。
金色财经现场报道 现代密码学之父:近几年是密码学的又一次复兴:金色财经现场报道,今日在Coindesk 2018共识会议上,现代密码学之父,图灵奖得主,Cryptic Labs首席科学家Whitfield Diffie表示,最近几年是密码学的又一次复兴,区块链是密码学方面的重新对焦。他表示喜欢“引入市场力量”的说法, 从市场力量的角度看待密码学的发展可能是最好的。Diffie还称赞了比特币创始人Satoshi,他说:“多年来密码学领域的许多人都想到如何发展金钱技术,在Satoshi之前没有人取得成功。”[2018/5/15]
泰国又一交易所即将加入数字货币这场“战役”中:据了解,泰国数字资产交易所大公牛网将于12月16日公测上线,该平台共有英文、中文、泰文三个版本。虽然最近东南亚针对虚拟货币的监管政策信号频出,但是其中泰国对ICO及虚拟货币抱有友好态度,并将监管权交给交易平台。此次大公牛网宣布该平台完全属于合法平台,也就意味着该交易平台对其上线的项目担负监管的使命。[2017/12/13]
有意思的是,在 PancakeBunny 遭到攻击后,Merlin Labs 也发文表示,Merlin 通过检查 Bunny 攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin 开发团队对此类攻击事件提出了解决方案,可以防止类似事件在 Merlin 身上发生。同时,Merlin 强调用户的安全是他们的头等大事。
然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。
PeckShield「派盾」简述攻击过程:
这一次,攻击者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿,并获得相应的 LP Token,Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap,获取 CAKE 奖励,并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利;攻击者调用 getReward() 函数,这一步与 BUNNY 的漏洞同源,CAKE 大量注入,使攻击者获得大量 MERLIN 的奖励,攻击者重复操作,最终共计获得 4.9 万 MERLIN 的奖励,攻击者抽离流动性后完成攻击。
随后,攻击者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。
在这批 BSC DeFi 的浪潮上,如果 DeFi 协议开发者不提高对安全的重视度,不仅会将 BSC 的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。
从 PancakeBunny 接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地” 。
世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。
毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去
标签:BUNNYUNNBUNCAKEBunnyCoinbunny币价格怎么掉那么厉害bunicorn币BONUSCAKE
编者注:时间倒退到2013年,进入区块链世界不久后的程序员Vitalik Buterin发现了比特币的弊端,他认为,应该给比特币加上图灵完备的编程语言,这样任何人都能在上面开发去中心化应用.
1900/1/1 0:00:00「桥」,决定了什么是 Layer 2。从社区角度而言,我们对以链下协议(off-chain protocol)作为区块链网络的扩容方式感到无比兴奋,因为这会让大多数交易从第 1 层区块链移至链下.
1900/1/1 0:00:00私营部门正在向央行发起挑战,挑战央行的角色。编者按:继中国央行近日重申金融机构不得开展虚拟货币相关业务的决定后,美联储主席鲍威尔上周也高调发声,指出加密货币存在的风险,同时宣布美联储将于今年夏季.
1900/1/1 0:00:00Altseason 是指山寨币爆发期。有人认为这只是「普通的数字货币牛市」,但在我看来,这是山寨币泡沫末期的一种特殊现象,此时可以在最短的时间内获得最大收益,市场达到疯狂的顶峰,此时你可以大胆的.
1900/1/1 0:00:00简单总结移除 SELFDESTRUCT 的 gas 返还,减少 SSTORE 的 gas 返还到一个较低水平,使得返还的量仍然相当大,但不会像现在高到可以被利用的地步.
1900/1/1 0:00:00金色财经 区块链5月25日讯 在过去的几个月中,去中心化金融(DeFi)已经引起了主流领域的广泛兴趣,越来越多普通人也开始尝试探索各种DeFi应用.
1900/1/1 0:00:00