UNN:又一打脸现场：Fork Bunny的Merlin损失240ETH_BUNNY

妖怪已经从瓶子里跑出来了？我们剖析了PancakeBunny和AutoShark的闪电贷攻击原理和攻击者的链上转账记录，发现了MerlinLabs同源攻击的一些蛛丝马迹。

2021年5月20日，一群不知名的攻击者通过调用函数getReward()抬高LPtoken的价值，获得额外的价值4,500万美元的BUNNY奖励。5月25日，PeckShield「派盾」预警发现，ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源闪电贷攻击。

2021年5月26日，就在AutoSharkFinance遭到攻击24小时后，PeckShield「派盾」安全人员通过剖析PancakeBunny和AutoShark攻击原理和攻击者的链上转账记录，发现了ForkPancakeBunny的MerlinLabs遭到同源攻击。

派盾：又一套利者通过购入BAYC以获取其质押的APE并出售:12月6日，据派盾检测数据显示，套利者（0x8237开头地址）从DYDX平台利用闪电贷借出90枚ETH，并购入BAYC#1633，同时获得了该NFT下质押的10,000枚ApeCoin；套利者后又将所得ApeCoin兑换为约32.68枚ETH，并将BAYC#1633以65ETH价格出售。

注：如果用户将APE质押在NFT池中，一旦出售该NFT，用户将同时失去质押的APE所有权。[2022/12/6 21:26:06]

所有上述三次攻击都有两个类似特征，攻击者盯上了ForkPancakeBunny的收益聚合器；攻击者完成攻击后，通过Nerve跨链桥将它们分批次转换为ETH。

分析 | 又一POWH3D山寨合约大火 高额手续费模式存疑:据第三方大数据评级机构RatingToken分析，熊市行情低迷，特别是ETH的反弹更是软弱无力，投资机会稀缺，造成Fomo3D和POWH3D的山寨层出不穷，不过大都昙花一现。DailyDivs自9月2日上线以来交易量和交易金额稳步增长。研究人员深入研究合约代码发现DailyDivs与之前的爆款游戏最大区别在于以下几点：

1、买和卖的手续费分红高达25%，相比POWH3D的10%提高了很多；

2、使用三层推荐体系，推荐费用分配比例为5:3:2；

3、DailyDivs是个游戏平台并且公开合约代码，但是实际进行的Earn Game和Lotto Game游戏合约代码是没有公开，RatingToken团队提示玩家注意资金风险。详情见原文链接。[2018/9/4]

有意思的是，在PancakeBunny遭到攻击后，MerlinLabs也发文表示，Merlin通过检查Bunny攻击事件的漏洞，不断通过细节反复执行代码的审核，为潜在的可能性采取了额外的预防措施。此外，Merlin开发团队对此类攻击事件提出了解决方案，可以防止类似事件在Merlin身上发生。同时，Merlin强调用户的安全是他们的头等大事。

加密货币将成为离婚夫妇又一个需要解决的财产分割问题:目前仍有许多理由让各国政府不得不对加密货币采取监管措施，当中可能会涉及到、利用加密货币逃税等非法活动。现在又多了一个理由：离婚夫妇的财产分割。据悉 ，英国律师事务所Royds Withy King披露，眼下他们至少已经为不下三对离婚夫妇提供关于加密货币的咨询服务。其中一对离婚夫妇的案子因为其货币的高价值性–等同于60万英镑（折合人民币约为533万）尤为突出。[2018/2/15]

然而，Bunny的不幸在Merlin的身上重演。Merlin「梅林」称它的定位是Bunny「兔子」的挑战者，不幸的是，梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程：

这一次，攻击者没有借闪电贷作为本金，而是将少量BNB存入PancakeSwap进行流动性挖矿，并获得相应的LPToken，Merlin的智能合约负责将攻击者的资产押入PancakeSwap，获取CAKE奖励，并将CAKE奖励直接到CAKE池中进行下一轮的复利；攻击者调用getReward()函数，这一步与BUNNY的漏洞同源，CAKE大量注入，使攻击者获得大量MERLIN的奖励，攻击者重复操作，最终共计获得4.9万MERLIN的奖励，攻击者抽离流动性后完成攻击。

随后，攻击者通过Nerve跨链桥将它们分批次转换为ETH，PeckShield「派盾」旗下的反态势感知系统CoinHolmes将持续监控转移的资产动态。

PeckShield「派盾」提示：ForkPancakeBunny的DeFi协议务必仔细检查自己的合约是否也存在类似的漏洞，或者寻求专业的审计机构对同类攻击进行预防和监控，不要沦为下一个「不幸者」。

在这批BSCDeFi的浪潮上，如果DeFi协议开发者不提高对安全的重视度，不仅会将BSC的生态安全置于风险之中，而且会沦为攻击者睥睨的羊毛地。

从PancakeBunny接连发生的攻击模仿案来看，攻击者都不需要太高技术和资金的门槛，只要耐心地将同源漏洞在ForkBunny的DeFi协议上重复试验就能捞上可观的一笔。Fork的DeFi协议可能尚未成为Bunny挑战者，就因同源漏洞损失惨重，被嘲笑为“顽固的韭菜地”。

世界上有两种类型的“游戏“，“有限的游戏“和“无限的游戏“。有限的游戏，其目的在于赢得胜利；无限的游戏，却旨在让游戏永远进行下去。

毫无疑问，无论ForkBunny的DeFi协议接下来会不会认真自查代码，攻击者们的无限游戏将会持续进行下去

标签：UNNBUNNYBUNCAKEsunny币圈子crazybunny币是什么时候出Bugs Bunny Tokencake币怎么挖

屎币热门资讯