妖怪已经从瓶子里跑出来了?我们剖析了PancakeBunny和AutoShark的闪电贷攻击原理和攻击者的链上转账记录,发现了MerlinLabs同源攻击的一些蛛丝马迹。
2021年5月20日,一群不知名的攻击者通过调用函数getReward()抬高LPtoken的价值,获得额外的价值4,500万美元的BUNNY奖励。5月25日,PeckShield「派盾」预警发现,ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源闪电贷攻击。
2021年5月26日,就在AutoSharkFinance遭到攻击24小时后,PeckShield「派盾」安全人员通过剖析PancakeBunny和AutoShark攻击原理和攻击者的链上转账记录,发现了ForkPancakeBunny的MerlinLabs遭到同源攻击。
PeckShield:DeFi协议MerlinLabs遭到攻击,是PancakeBunny的又一同源攻击:5月26日消息,PeckShield“派盾”预警显示,DeFi收益聚合器MerlinLabs遭到攻击,此次攻击手法与5天前遭到闪电贷攻击的PancakeBunny的攻击手段相似,损失200ETH。[2021/5/26 22:46:25]
所有上述三次攻击都有两个类似特征,攻击者盯上了ForkPancakeBunny的收益聚合器;攻击者完成攻击后,通过Nerve跨链桥将它们分批次转换为ETH。
中国信通院所长何宝宏:区块链只是互联网又一块补丁,不可能颠覆它:中国信息通信研究院云计算与大数据研究所所长何宝宏今日在第二届区块链新金融高峰论坛上表示,区块链只是20年来“对互联网又一块大点的补丁”,不可能颠覆互联网,更不可能颠覆当前世界。[2018/6/6]
有意思的是,在PancakeBunny遭到攻击后,MerlinLabs也发文表示,Merlin通过检查Bunny攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin开发团队对此类攻击事件提出了解决方案,可以防止类似事件在Merlin身上发生。同时,Merlin强调用户的安全是他们的头等大事。
用比特币纳税!美国又一个州提交相关法案:近日,继美国亚利桑那州比特币纳税法案被参议院通过后,乔治亚州也有两位州参议员提出用比特币纳税的法案。据法案公开记录显示,这项措施如果落地,将调整州政府税务部的规定,允许其接受以比特币等加密货币支付政府税款以及各类许可证的费用。[2018/2/24]
泰国又一交易所即将加入数字货币这场“战役”中:据了解,泰国数字资产交易所大公牛网将于12月16日公测上线,该平台共有英文、中文、泰文三个版本。虽然最近东南亚针对虚拟货币的监管政策信号频出,但是其中泰国对ICO及虚拟货币抱有友好态度,并将监管权交给交易平台。此次大公牛网宣布该平台完全属于合法平台,也就意味着该交易平台对其上线的项目担负监管的使命。[2017/12/13]
然而,Bunny的不幸在Merlin的身上重演。Merlin「梅林」称它的定位是Bunny「兔子」的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。
PeckShield「派盾」简述攻击过程:
这一次,攻击者没有借闪电贷作为本金,而是将少量BNB存入PancakeSwap进行流动性挖矿,并获得相应的LPToken,Merlin的智能合约负责将攻击者的资产押入PancakeSwap,获取CAKE奖励,并将CAKE奖励直接到CAKE池中进行下一轮的复利;攻击者调用getReward()函数,这一步与BUNNY的漏洞同源,CAKE大量注入,使攻击者获得大量MERLIN的奖励,攻击者重复操作,最终共计获得4.9万MERLIN的奖励,攻击者抽离流动性后完成攻击。
随后,攻击者通过Nerve跨链桥将它们分批次转换为ETH,PeckShield「派盾」旗下的反态势感知系统CoinHolmes将持续监控转移的资产动态。
PeckShield「派盾」提示:ForkPancakeBunny的DeFi协议务必仔细检查自己的合约是否也存在类似的漏洞,或者寻求专业的审计机构对同类攻击进行预防和监控,不要沦为下一个「不幸者」。
在这批BSCDeFi的浪潮上,如果DeFi协议开发者不提高对安全的重视度,不仅会将BSC的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。
从PancakeBunny接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在ForkBunny的DeFi协议上重复试验就能捞上可观的一笔。Fork的DeFi协议可能尚未成为Bunny挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地”。
世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。
毫无疑问,无论ForkBunny的DeFi协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去
5月20日,美国参议院银行委员会主席SherrodBrown表示:一些寻求OCC执照的公司无法满足OCC的监管要求。他提到已获得OCC有条件批准信托执照的三家加密公司,包括Paxos、Protego和Anchorage.
1900/1/1 0:00:00头条 ▌沃顿商学院:DeFi有改变全球金融的潜力宾夕法尼亚大学沃顿商学院刚刚发布了对去中心化金融的评估报告。报告称:“DeFi有改变全球金融的潜力,但迄今为止的活动集中在现有数字资产所有者社区中的投机,杠杆交易和产生收益上.
1900/1/1 0:00:00今日早间消息,北美矿业公司MicroStrategy首席执行官MichaelSaylor表示,其主持了特斯拉CEO埃隆·马斯克与北美比特币矿工的会议,矿工们同意组建比特币挖矿委员会,以提高能源使用的透明度,并加快全球可持续发展计划.
1900/1/1 0:00:00高盛认为,考虑到真实用途、用户基数、技术迭代速度等多方因素,以太坊很有可能取代比特币成为主流的加密货币。在市场走势方面,高盛强调目前加密货币市场与2017—2018年牛市之间关键的区别在于机构投资者的加入.
1900/1/1 0:00:00加密货币已发展成为华尔街巨头们无法忽视的力量。富国银行,花旗集团,摩根大通,高盛,摩根士丹利和美国银行定于周三在参议院银行委员会以及周四的众议院金融服务小组会议上亮相,预先准备的公开发言稿显示数字资产将是重要的讨论点,其中三位CEO提.
1900/1/1 0:00:00美国加密银行AvantiFinancial创始人兼首席执行官CaitlinLong表示,"美国加密监管打击”已经开始,但其强调这不是“比特币禁令”.
1900/1/1 0:00:00
宇宙链