Otra bofetada en la cara: Merlin de Fork Bunny perdió 240ETH

¿El genio se ha escapado de la botella? Analizamos los principios de ataque de préstamo relámpago de PancakeBunny y AutoShark y los registros de transferencia en cadena del atacante, y encontramos algunas pistas del ataque del mismo origen de Merlin Labs.

El 20 de mayo de 2021, un grupo de atacantes desconocidos infló el valor del token LP llamando a la función getReward() para obtener una recompensa BUNNY adicional por valor de 45 millones de dólares. El 25 de mayo, la alerta "Pai Shield" de PeckShield descubrió que el agregador de ingresos de Fork PancakeBunny, AutoShark Finance, fue atacado por el préstamo flash homólogo de PancakeBunny.

El 26 de mayo de 2021, solo 24 horas después de que AutoShark Finance fuera atacado, el personal de seguridad de PeckShield descubrió que Merlin Labs de Fork PancakeBunny fue pirateado al analizar los principios de ataque de PancakeBunny y AutoShark y los registros de transferencia en cadena del atacante.

Los tres ataques mencionados anteriormente tienen dos características similares, el atacante apuntó al agregador de ingresos de Fork PancakeBunny; después de que el atacante completó el ataque, se convirtieron en ETH en lotes a través del puente de cadena cruzada Nerve (Anyswap).

La empresa de I+D Proxity Labs anuncia el establecimiento de una subvención DAO de 350 millones de dólares: el 21 de octubre, la empresa de I+D Proxity Labs anunció el establecimiento de una organización autónoma descentralizada (DAO) que otorga subvenciones de 350 millones de dólares para ayudar en la cadena de bloques NEAR Construir aplicaciones financieras descentralizadas en además de eso, distribuyendo fondos en forma de tokens NEAR que van desde $ 5,000 hasta millones de dólares durante aproximadamente cuatro años. DAO está abierto a todos los proyectos DeFi. (Bloomberg) [2021/10/21 20:47:05]

Curiosamente, después de que PancakeBunny fuera atacado, Merlin Labs también emitió un documento que indica que Merlin verificó las vulnerabilidades del ataque Bunny y realizó repetidas revisiones de código a través de los detalles, tomando precauciones adicionales para posibles posibilidades. Además, el equipo de desarrollo de Merlin ha propuesto soluciones a este tipo de ataques, que pueden evitar que le sucedan incidentes similares a Merlin. Al mismo tiempo, Merlin destaca que la seguridad de los usuarios es su máxima prioridad.

Sin embargo, la desgracia de Bunny se repite para Merlín. Merlin "Merlin" afirma que su posicionamiento es el retador de Bunny "rabbit". Desafortunadamente, la magia de Merlin no ha escapado a la maldición del conejo.

PeckShield describe brevemente el proceso de ataque:

Esta vez, el atacante no tomó prestado el préstamo flash como principal, sino que depositó una pequeña cantidad de BNB en PancakeSwap para extraer liquidez y obtuvo el token LP correspondiente. El contrato inteligente de Merlin es responsable de depositar los activos del atacante en PancakeSwap para obtener CAKE recompensas y transfiere directamente las recompensas de CAKE al fondo CAKE para la siguiente ronda de interés compuesto; el atacante llama a la función getReward(), que tiene el mismo origen que la vulnerabilidad BUNNY, y se inyecta una gran cantidad de CAKE, lo que permite que atacante para obtener una gran cantidad de recompensas MERLIN, y el atacante repite Finalmente, se obtuvo un total de 49,000 recompensas MERLIN, y el atacante completó el ataque después de retirar liquidez.

Posteriormente, el atacante los convirtió en ETH en lotes a través del puente de cadena cruzada Nerve (Anyswap), y CoinHolmes, un sistema de conciencia situacional contra el lavado de dinero bajo PeckShield, continuará monitoreando la dinámica de los activos transferidos.

En esta ola de BSC DeFi, si los desarrolladores del protocolo DeFi no aumentan el énfasis en la seguridad, no solo pondrán en riesgo la seguridad ecológica de BSC, sino que también se convertirán en un lugar confuso para los atacantes.

A juzgar por los sucesivos casos de imitación de ataques de PancakeBunny, los atacantes no necesitan un umbral técnico y financiero demasiado alto, siempre que prueben pacientemente la vulnerabilidad del mismo origen en el protocolo DeFi de Fork Bunny repetidamente, pueden hacer una suma considerable. Es posible que el protocolo DeFi de Fork no se haya convertido en un retador de Bunny, pero ha sido ridiculizado como un "puerro obstinado" debido a las grandes pérdidas debido a la vulnerabilidad del mismo origen.

Hay dos tipos de "juegos" en el mundo, "juegos finitos" y "juegos infinitos". Los juegos finitos tienen como objetivo ganar; los juegos infinitos tienen como objetivo mantener el juego para siempre.

No hay duda de que, independientemente de si el protocolo DeFi de Fork Bunny verificará seriamente el código a continuación, el juego infinito de los atacantes continuará

Tags：

Precio de Etéreo