又一打脸现场：Fork Bunny的Merlin损失240ETH

妖怪已经从瓶子里跑出来了？我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录，发现了 Merlin Labs 同源攻击的一些蛛丝马迹。

2021 年 5 月 20 日，一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值，获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日，PeckShield「派盾」预警发现，Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。

派盾：又一套利者通过Ankr漏洞获利约350万美元，获利资金已转入币安?:12月2日消息，安全公司派盾在推特上表示，一名社区贡献者发现0x9bae开头地址通过Ankr漏洞获利约350万美元，且已将获利资金，约187万枚Binance-Peg BUSD与163万枚Binance-Peg USDC转入币安。

此前消息，0x8d11开头的地址借助Ankr漏洞用10枚BNB换得1550万枚BUSD。[2022/12/2 21:18:09]

2021 年 5 月 26 日，就在 AutoShark Finance 遭到攻击 24 小时后，PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录，发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。

ARK基金创始人：比特币是1600年代以来又一个新的资产类别:ARK基金创始人Cathiewood最近在MSCI主办、CFAInstitute和万得3C协办的直播中表示，在互联网发展的早期阶段，很少有人想到它会和商业联系在一起，因为早期的互联网主要是为情报部门、国防部门和学术界服务的，直到1991年之前，大众还不允许被使用互联网。所以最初的互联网理所当然的不存在支付系统，我们认为区块链技术就是互联网内生的支付平台，而比特币就是所有加密货币中的储备货币，我们认为区块链技术大部分的价值会在向少数几种加密货币汇聚。至于以区块链技术为核心的去中心化的金融几乎已经发展出一个平行的金融服务生态系统，包括投资、租赁、衍生品，几乎包含传统金融服务的方方面面。区块链技术还处于发展的初期，它风险很大，但我们相信对其生态系统的管控治理已经得到很大程度的改善，因为疫情之后加密资产的崩溃，以及很多投资者破产，使得对区块链的管控更加完善。我们也看到越来越多的机构投资者开始投资比特币，我们也知道比特币的总体供应只有2100万枚，而现在已经到了1900万，所以它具备稀缺性的特征，使之可以被看成是数字黄金。我们认为机构投资者的介入是一剂强心剂，而且比特币的价格跟其他加密资产并没有什么相关性。因此，我们相信，比特币是1600年代以来，我们发现的又一个新的资产类别。过去六个月，最让我们惊讶的就是像特斯拉这样的公司开始买入比特币以分散持有现金的风险，这有可能是因为这些公司想在非洲拓展业务，而这些地区由于本国货币币值不稳定，很难进行交易。[2021/3/26 19:19:28]

所有上述三次攻击都有两个类似特征，攻击者盯上了 Fork PancakeBunny 的收益聚合器；攻击者完成攻击后，通过 Nerve（Anyswap）跨链桥将它们分批次转换为 ETH。

声音 | 世界经济论坛创始人：区块链是第四次工业革命的又一代表性成果:据经济参考报消息，在近日举行的第十二次夏季达沃斯论坛上，世界经济论坛创始人兼执行主席克劳斯·施瓦布表示，区块链是第四次工业革命的又一代表性成果。预计到2025年之前，全球GDP总量的10％将使用区块链技术储存。当前，众多知名企业、投资人密切关注区块链动向。他们期待借助区块链技术，改善传统业务流程，创造崭新的业务模式。[2018/9/21]

诺贝尔经济学家席勒：比特币可能是又一次失败的货币实验:5月21日，诺贝尔经济学奖获得者、耶鲁大学教授罗伯特·希勒（Robert Shiller）在新发布的一篇博客中表示，加密货币市场的出现正在模仿历史上一些最失败的货币实验。他说尽管有人警告称这可能是一个局，但人们对加密货币市场的热情依然高涨。他说，人们必须记住，重塑货币的尝试在历史上一直都存在。然而，他补充说，尽管新的货币创新在开始时令人兴奋，但它们未能持续下去。[2018/5/22]

有意思的是，在 PancakeBunny 遭到攻击后，Merlin Labs 也发文表示，Merlin 通过检查 Bunny 攻击事件的漏洞，不断通过细节反复执行代码的审核，为潜在的可能性采取了额外的预防措施。此外，Merlin 开发团队对此类攻击事件提出了解决方案，可以防止类似事件在 Merlin 身上发生。同时，Merlin 强调用户的安全是他们的头等大事。

然而，Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者，不幸的是，梅林的魔法终未逃过兔子的诅咒。

PeckShield「派盾」简述攻击过程：

这一次，攻击者没有借闪电贷作为本金，而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿，并获得相应的 LP Token，Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap，获取 CAKE 奖励，并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利；攻击者调用 getReward() 函数，这一步与 BUNNY 的漏洞同源，CAKE 大量注入，使攻击者获得大量 MERLIN 的奖励，攻击者重复操作，最终共计获得 4.9 万 MERLIN 的奖励，攻击者抽离流动性后完成攻击。

随后，攻击者通过 Nerve（Anyswap）跨链桥将它们分批次转换为 ETH，PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。

在这批 BSC DeFi 的浪潮上，如果 DeFi 协议开发者不提高对安全的重视度，不仅会将 BSC 的生态安全置于风险之中，而且会沦为攻击者睥睨的羊毛地。

从 PancakeBunny 接连发生的攻击模仿案来看，攻击者都不需要太高技术和资金的门槛，只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者，就因同源漏洞损失惨重，被嘲笑为“顽固的韭菜地” 。

世界上有两种类型的“游戏“，“有限的游戏“和“无限的游戏“。有限的游戏，其目的在于赢得胜利；无限的游戏，却旨在让游戏永远进行下去。

毫无疑问，无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码，攻击者们的无限游戏将会持续进行下去

标签：BUNBUNNYUNNANCBunnyTokenBunny King MetaversePancakeBunnyTardigrades Finance

DOT热门资讯