妖怪已經從瓶子裡跑出來了嗎?我們分析了 PancakeBunny 和 AutoShark 的閃電貸攻擊原理和攻擊者在鏈上的轉賬記錄,發現了Merlin Labs 同源攻擊的蛛絲馬跡。
(前情提要: 科普|究竟什麼是閃電貸?DeFi 近一個月就連爆 4 起相關攻擊)
(事件背景: BSC 項目 PancakeBunny 遭閃電貸攻擊!估遭駭 2 億美元,BUNNY 暴跌 99%)
2021 年5 月20 日,一群不知名的攻擊者透過調用函數 getReward() 提高 LP token 的價值,獲得額外價值4,500 萬美元的 BUNNY 獎勵。5 月 25 日,PeckShield「派盾」預警發現,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 的同源閃電貸攻擊。
2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻擊 24 小時後,筆者 PeckShield「派盾」安全人員透過分析 PancakeBunny 和 AutoShark 攻擊原理和攻擊者在鏈上的轉帳記錄,發現了 Fork PancakeBunny 的 Merlin Labs 也遭到同源攻擊。
所有上述三次攻擊都有兩個類似特徵,攻擊者盯上了 Fork PancakeBunny 的收益聚合器;攻擊者完成攻擊後,通過 Nerve(Anyswap)跨鏈橋將它們分批次轉換為 ETH。
有趣的是,在 PancakeBunny 遭到攻擊後,Merlin Labs 隨即發文表示,Merlin 透過檢查 Bunny 攻擊事件的漏洞,不斷反覆執行程式碼的審核,為潛在的可能性採取了額外的預防措施。
此外,Merlin 開發團隊對此類攻擊事件提出了解決方案,可以防止類似事件在 Merlin 身上發生。同時,Merlin 強調用戶的安全是他們最大的事。
然而,Bunny 的遭遇在 Merlin 的身上重演。Merlin「梅林」稱它的定位是 Bunny「兔子」 的挑戰者,不幸的是,梅林的魔法終難逃兔子的詛咒。筆者簡述攻擊過程:
這一次,攻擊者沒有借閃電貸作為本金,而是將少量 BNB 存入 PancakeSwap 進行流動性挖礦,並獲得相應的 LP Token,Merlin 的智能合約負責將攻擊者的資產押入 PancakeSwap,獲取 CAKE 獎勵,並將 CAKE 獎勵直接到 CAKE 池中進行下一輪的複利。
攻擊者調用 getReward() 函數,這一步與 BUNNY 的漏洞同源,CAKE 的大量注入,使攻擊者獲得大量 MERLIN 的獎勵,攻擊者重複操作,最終共計獲得 4.9 萬 MERLIN 的獎勵,在攻擊者抽離流動性後完成攻擊。
隨後,攻擊者通過 Nerve(Anyswap)跨鏈橋將它們分批次轉換為 ETH,PeckShield旗下的反洗錢感知系統 CoinHolmes 將持續監控轉移的資產動態。
筆者提示:
Fork PancakeBunny 的 DeFi 協議需務必仔細檢查自己的合約是否也存在類似的漏洞,或者尋求專業的審計機構對同類攻擊進行預防和監控,不要淪為下一個「受害者」。
在這批 BSC DeFi 的浪潮上,如果 DeFi 協議開發者不提高對安全的重視度,不僅會將 BSC 的生態安全置於風險之中,而且會淪為攻擊者睥睨的羊毛地。
從 PancakeBunny 接連發生的攻擊模仿案來看,攻擊者都不需要太高技術和資金的門檻,只要耐心地將同源漏洞在 Fork Bunny 的 DeFi 協議上重複試驗就能撈上可觀的一筆。
Fork 的 DeFi 協議可能尚未成為 Bunny 挑戰者,就因同源漏洞損失慘重,被嘲笑為「頑固的韭菜地」 。
世界上有兩種類型的「遊戲」,「有限的遊戲」和「無限的遊戲」。有限的遊戲,目的在於贏得勝利;無限的遊戲,卻旨在讓遊戲永遠進行下去。
毫無疑問,無論 Fork Bunny 的 DeFi 協議接下來會不會認真檢視其程式碼,攻擊者們的無限遊戲仍將持續進行下去。
相關報導
BSC|DeFi 項目 DeFi100 疑跑路、捲款 3200 萬鎂,官方澄清:遭駭客攻擊
YFI遭駭!聚合挖礦協議Yearn Finance疑似遭「閃電貸」攻擊,損失1,100萬鎂
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
