BUNNY:又一打臉現場：Fork Bunny的Merlin損失240ETH

妖怪已經從瓶子里跑出來了？我們剖析了 PancakeBunny 和 AutoShark 的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄，發現了 Merlin Labs 同源攻擊的一些蛛絲馬跡。

2021 年 5 月 20 日，一群不知名的攻擊者通過調用函數 getReward() 抬高 LP token 的價值，獲得額外的價值 4,500 萬美元的 BUNNY 獎勵。5 月 25 日，PeckShield「派盾」預警發現，Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源閃電貸攻擊。

又一項以太坊教育計劃因擔心伊朗制裁而取消:金色財經報道，眾籌平臺Gitcoin停止了一項旨在幫助講波斯語的學生學習以太坊編程的活動。此前，區塊鏈初創公司ConsenSys將50名伊朗學生從其智能合約編程課程中除名。Gitcoin在總部位于西班牙巴塞羅那的Giveth平臺上繼續進行該活動，并最終為創建了該課程的伊朗裔志愿者籌集了超過7558美元，并將向任何講波斯語的人免費發布該課程。[2021/12/21 7:52:18]

2021 年 5 月 26 日，就在 AutoShark Finance 遭到攻擊 24 小時后，PeckShield「派盾」安全人員通過剖析 PancakeBunny 和 AutoShark 攻擊原理和攻擊者的鏈上轉賬記錄，發現了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻擊。

動態 | 澳大利亞又一數字貨幣交易所通過ADCA認證:據Cryptoninjas消息，澳大利亞數字貨幣交易所“Independent Reserve“（獨立儲備）已被ADCA （澳大利亞數字商業協會）認證為符合澳大利亞數字貨幣行業行為準則。據悉，獨立儲備交易所是澳大利亞交易報告和分析中心（AUSTRAC）監管的第一個交易所。[2018/9/27]

所有上述三次攻擊都有兩個類似特征，攻擊者盯上了 Fork PancakeBunny 的收益聚合器；攻擊者完成攻擊后，通過 Nerve（Anyswap）跨鏈橋將它們分批次轉換為 ETH。

中國信通院所長何寶宏：區塊鏈只是互聯網又一塊補丁，不可能顛覆它:中國信息通信研究院云計算與大數據研究所所長何寶宏今日在第二屆區塊鏈新金融高峰論壇上表示，區塊鏈只是20年來“對互聯網又一塊大點的補丁”，不可能顛覆互聯網，更不可能顛覆當前世界。[2018/6/6]

有意思的是，在 PancakeBunny 遭到攻擊后，Merlin Labs 也發文表示，Merlin 通過檢查 Bunny 攻擊事件的漏洞，不斷通過細節反復執行代碼的審核，為潛在的可能性采取了額外的預防措施。此外，Merlin 開發團隊對此類攻擊事件提出了解決方案，可以防止類似事件在 Merlin 身上發生。同時，Merlin 強調用戶的安全是他們的頭等大事。

又一家銀行禁止使用銀行卡購買比特幣:加拿大豐業銀行（Scotiabank）在發給客戶的郵件中表示，客戶將不能使用信用卡和借記卡購買加密貨幣。電子郵件稱，該銀行采取了這種激進立場是由于“風險和監管因素持續演變”。這個決定似乎只影響了由豐業銀行發行的Visa卡，并不影響常規活期賬戶。[2018/3/8]

然而，Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」稱它的定位是 Bunny「兔子」 的挑戰者，不幸的是，梅林的魔法終未逃過兔子的詛咒。

PeckShield「派盾」簡述攻擊過程：

這一次，攻擊者沒有借閃電貸作為本金，而是將少量 BNB 存入 PancakeSwap 進行流動性挖礦，并獲得相應的 LP Token，Merlin 的智能合約負責將攻擊者的資產押入 PancakeSwap，獲取 CAKE 獎勵，并將 CAKE 獎勵直接到 CAKE 池中進行下一輪的復利；攻擊者調用 getReward() 函數，這一步與 BUNNY 的漏洞同源，CAKE 大量注入，使攻擊者獲得大量 MERLIN 的獎勵，攻擊者重復操作，最終共計獲得 4.9 萬 MERLIN 的獎勵，攻擊者抽離流動性后完成攻擊。

隨后，攻擊者通過 Nerve（Anyswap）跨鏈橋將它們分批次轉換為 ETH，PeckShield「派盾」旗下的反洗錢態勢感知系統 CoinHolmes 將持續監控轉移的資產動態。

在這批 BSC DeFi 的浪潮上，如果 DeFi 協議開發者不提高對安全的重視度，不僅會將 BSC 的生態安全置于風險之中，而且會淪為攻擊者睥睨的羊毛地。

從 PancakeBunny 接連發生的攻擊模仿案來看，攻擊者都不需要太高技術和資金的門檻，只要耐心地將同源漏洞在 Fork Bunny 的 DeFi 協議上重復試驗就能撈上可觀的一筆。Fork 的 DeFi 協議可能尚未成為 Bunny 挑戰者，就因同源漏洞損失慘重，被嘲笑為“頑固的韭菜地” 。

世界上有兩種類型的“游戲“，“有限的游戲“和“無限的游戲“。有限的游戲，其目的在于贏得勝利；無限的游戲，卻旨在讓游戲永遠進行下去。

毫無疑問，無論 Fork Bunny 的 DeFi 協議接下來會不會認真自查代碼，攻擊者們的無限游戲將會持續進行下去

Tags：BUNNYUNNBUNCAKEBunnyVerseBUNNY幣bunny幣怎么樣FATCAKE

歐易交易所app官網下載