動區動趨-最具影響力的區塊鏈新聞媒體
  • Home
    • Home Layout 1
    • Home Layout 2
    • Home Layout 3
  • Browse
    • News
    • Movie
    • Music
    • Technology
    • Howto & Style
    • Entertainment
    • Gaming
  • Features
    • Youtube Video
    • Vimeo Video
    • Dailymotion Video
    • Self-hosted Video
    • User Profile
    • Playlists
    • User-created Playlist
    • Favorite Playlist (Private)
    • Watch Later Playlist (Private)
    • All JNews Features
No Result
View All Result
  • Login
  • Register
UPLOAD
動區動趨-最具影響力的區塊鏈新聞媒體
No Result
View All Result
Currently Playing

ABS獨家專訪》Gitcoin共同創辦人Scott:台灣是現實與Web3治理的重要交匯點

ABS獨家專訪》Gitcoin共同創辦人Scott:台灣是現實與Web3治理的重要交匯點

ABS獨家專訪》Gitcoin共同創辦人Scott:台灣是現實與Web3治理的重要交匯點

搶先看
ABS獨家專訪》Gate.io CEO韓林:無懼銀行進軍加密服務,台北特別有人情味

ABS獨家專訪》Gate.io CEO韓林:無懼銀行進軍加密服務,台北特別有人情味

搶先看

6 Sci-fi Gadgets in Movie We Wish Actually Existed

Movie

The 10 best games to play on your new PlayStation 4

Gaming

Tesla’s Chinese factory just delivered its first cars

News

打臉現場!分叉項目 Merlin 重演 PancakeBunny 遭遇,駭客 240 枚 ETH 入袋

妖怪已經從瓶子裡跑出來了嗎?我們分析了 PancakeBunny 和 AutoShark 的閃電貸攻擊原理和攻擊者在鏈上的轉賬記錄,發現了Merlin Labs 同源攻擊的蛛絲馬跡。
(前情提要: 科普|究竟什麼是閃電貸?DeFi 近一個月就連爆 4 起相關攻擊)
(事件背景: BSC 項目 PancakeBunny 遭閃電貸攻擊!估遭駭 2 億美元,BUNNY 暴跌 99%)

 

2021 年5 月20 日,一群不知名的攻擊者透過調用函數 getReward() 提高 LP token 的價值,獲得額外價值4,500 萬美元的 BUNNY 獎勵。5 月 25 日,PeckShield「派盾」預警發現,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 的同源閃電貸攻擊。

2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻擊 24 小時後,筆者 PeckShield「派盾」安全人員透過分析 PancakeBunny 和 AutoShark 攻擊原理和攻擊者在鏈上的轉帳記錄,發現了 Fork PancakeBunny 的 Merlin Labs 也遭到同源攻擊。

所有上述三次攻擊都有兩個類似特徵,攻擊者盯上了 Fork PancakeBunny 的收益聚合器;攻擊者完成攻擊後,通過 Nerve(Anyswap)跨鏈橋將它們分批次轉換為 ETH。

- 圖源 : PeckShield -有趣的是,在 PancakeBunny 遭到攻擊後,Merlin Labs 隨即發文表示,Merlin 透過檢查 Bunny 攻擊事件的漏洞,不斷反覆執行程式碼的審核,為潛在的可能性採取了額外的預防措施。

此外,Merlin 開發團隊對此類攻擊事件提出了解決方案,可以防止類似事件在 Merlin 身上發生。同時,Merlin 強調用戶的安全是他們最大的事。

- 圖源 : PeckShield -

然而,Bunny 的遭遇在 Merlin 的身上重演。Merlin「梅林」稱它的定位是 Bunny「兔子」 的挑戰者,不幸的是,梅林的魔法終難逃兔子的詛咒。筆者簡述攻擊過程:

- 圖源 : PeckShield -

這一次,攻擊者沒有借閃電貸作為本金,而是將少量 BNB 存入 PancakeSwap 進行流動性挖礦,並獲得相應的 LP Token,Merlin 的智能合約負責將攻擊者的資產押入 PancakeSwap,獲取 CAKE 獎勵,並將 CAKE 獎勵直接到 CAKE 池中進行下一輪的複利。

攻擊者調用 getReward() 函數,這一步與 BUNNY 的漏洞同源,CAKE 的大量注入,使攻擊者獲得大量 MERLIN 的獎勵,攻擊者重複操作,最終共計獲得 4.9 萬 MERLIN 的獎勵,在攻擊者抽離流動性後完成攻擊。

隨後,攻擊者通過 Nerve(Anyswap)跨鏈橋將它們分批次轉換為 ETH,PeckShield旗下的反洗錢感知系統 CoinHolmes 將持續監控轉移的資產動態。

筆者提示:

Fork PancakeBunny 的 DeFi 協議需務必仔細檢查自己的合約是否也存在類似的漏洞,或者尋求專業的審計機構對同類攻擊進行預防和監控,不要淪為下一個「受害者」。

在這批 BSC DeFi 的浪潮上,如果 DeFi 協議開發者不提高對安全的重視度,不僅會將 BSC 的生態安全置於風險之中,而且會淪為攻擊者睥睨的羊毛地。

從 PancakeBunny 接連發生的攻擊模仿案來看,攻擊者都不需要太高技術和資金的門檻,只要耐心地將同源漏洞在 Fork Bunny 的 DeFi 協議上重複試驗就能撈上可觀的一筆。

Fork 的 DeFi 協議可能尚未成為 Bunny 挑戰者,就因同源漏洞損失慘重,被嘲笑為「頑固的韭菜地」 。

世界上有兩種類型的「遊戲」,「有限的遊戲」和「無限的遊戲」。有限的遊戲,目的在於贏得勝利;無限的遊戲,卻旨在讓遊戲永遠進行下去。

毫無疑問,無論 Fork Bunny 的 DeFi 協議接下來會不會認真檢視其程式碼,攻擊者們的無限遊戲仍將持續進行下去。

📍相關報導📍

BSC|DeFi 項目 DeFi100 疑跑路、捲款 3200 萬鎂,官方澄清:遭駭客攻擊

YFI遭駭!聚合挖礦協議Yearn Finance疑似遭「閃電貸」攻擊,損失1,100萬鎂


讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務

加入好友

加入好友

No Result
View All Result

近期文章

  • 精選文章搶先看!動區登入Access質押訂閱服務,解鎖寶貴資訊快人一步
  • ABS獨家專訪》Gitcoin共同創辦人Scott:台灣是現實與Web3治理的重要交匯點
  • ABS獨家專訪》Gate.io CEO韓林:無懼銀行進軍加密服務,台北特別有人情味
  • 快訊!BTC 現在已來到 58996.2
  • 快訊!BTC 現在已來到 58815.03
Next Post
Source: Solana Season Hackathon TW Official Website

Solana黑客松開跑!百萬美元獎金池、種子投資基金;廣邀台灣開發者共創多元生態

Copyright (c) 2019 by Jegtheme.
  • About
  • Buy JNews
  • Request A Demo
  • Contact

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist

- Select Visibility -

    No Result
    View All Result
    • Account
    • BlockTempo Beginner – 動區新手村
    • Change Password
    • Forgot Password?
    • Home 1
    • Home 2
    • Home 3
    • Jin-homepage
    • Latest
    • Login
    • Profile
    • Register
    • Reset Password
    • Trending
    • Users
    • Users List Item
    • 不只加密貨幣,談談那些你不知道的區塊鏈應用|動區新手村
    • 所有文章
    • 關於 BlockTempo

    © 2025 JNews - Premium WordPress news & magazine theme by Jegtheme.