SHA:Shark閃跌 99% Fork了Bunny的代碼還Fork了它的攻擊

這一周，遭到閃電貸攻擊的DeFi協議的幣價，就像5月的天氣--說崩就崩。在眼下，頻繁的閃電貸攻擊再次上演，一周接連幾個協議的代幣價格險些歸零，涉及到的損失金額數百上千萬，DeFi協議開發者真的在頻遭攻擊后提升對代碼安全的重視了嗎？

北京時間5月24日，PeckShield「派盾」預警顯示，Fork收益聚合器PancakeBunny的DeFi協議AutoSharkFinance遭到閃電貸攻擊，受攻擊事件的影響，Shark的價格閃崩，跌幅短時達到99%。

Kevin Shao：未來交易肯定更多的會集中在鏈上:金色財經報道，在Metainsight主辦的以“FTX事件冷思考: 客戶資產如何安全管理”為主題的Metainsight圓桌匯上，Bitrise Capital Co-Founder Kevin Shao表示，

未來區塊鏈或crypto的發展格局其實相對比較清晰了，一方面，未來交易肯定更多的會集中在鏈上，慢慢遷移過去，提升用戶體驗以及提高用戶交易效率。

第二方面就是傳統合規，傳統的監管肯定會不斷的加碼，特別是中心化交易所的資產托管會像傳統金融監管一樣會被授予第三方來做一些監管。

然后基于這個托管行業會迎來一波需求，同時我們認為未來很多中心化可能更多的會成為一個橋梁，就是在法幣進入crypto的時候，會是一個非常好的橋梁。在crypto世界里面，有很多可替代的或者說非常安全的解決方案來實現交易方面的需求，我覺得這個是可以預見到。[2022/11/20 22:07:43]

PeckShield「派盾」第一時間追蹤并分析發現，此次攻擊手法與5天前遭到閃電貸攻擊的PancakeBunny的攻擊手段相似。

動態 | 去中心化域名協議Handshake已啟動主網:去中心化域名協議Handshake已于UTC時間2月3日17點（北京時間2月4日1點）啟動主網。與此同時，域名注冊商Namebase推出Handshake代幣HNS交易服務。Namebase用戶最終將能夠通過Handshake購買域名，并使用電子郵件風格的加密地址發送和接收比特幣和其他代幣，類似于基于以太坊的去中心化域名注冊服務商Unstoppable Domains，后者最近為以太坊代幣錢包MyEtherWallet提供此類支持。用戶還可以使用HNS代幣在Namebase上為獨特的頂級域名（例如.guy）競標，然后每當有人向該頂級域名（TLD）注冊子域名時就可以賺取HNS。Handshake區塊鏈現在可以用于開采其原生代幣HNS，然而，交易和全部功能要到2月17日才能啟用。同時，該協議將通過長期計劃的去中心化空投，將價值1.15億美元的HNS（85%的供應量）分配給開源開發者。此外，可以通過Coinmine應用程序的Coinmine One功能開采HNS。（Cryptoslate）[2020/2/4]

據AutoSharkFinance介紹，它基于BSC鏈上交易量Top3?的去中心化交易所PantherSwap，而非PancakeSwap，這使得它幸免于PancakeBunny的攻擊。

聲音 | Shapeshift創始人：比特幣到年底將超過2萬美元，2020年將是下一個泡沫周期:據EWN消息，加密貨幣硬件錢包生產商Shapeshift創始人兼首席執行官Erik Voorhees近日在接受采訪時表示，他懷疑Facebook能否以目前的形式推出Libra，并擔心他們會向監管機構屈服，推出與美元1：1掛鉤的資產，這幾乎沒有創新。他同時預測比特幣到年底將超過2萬美元，而2020年將是下一個泡沫周期（無論減半與否）。加密投資是一個長期的項目，而且總是非常投機。每個人都應該做好假設加密資產會歸零的想法，當他們習慣這種想法，他們就準備好了。[2019/9/8]

用戶可在PantherSwap上做市，獲取的LP代幣憑證，可以放入AutoSharkFinance中產生復利收益。不幸的是，它沒有逃過ForkPancakeBunny?代碼帶來的同源漏洞攻擊。

PeckShield「派盾」簡述攻擊過程：

攻擊者從PancakeSwap借出10萬BNB的閃電貸，并將其中5萬BNB兌換為SHARKtoken，將剩余的5萬BNB和兌換的SHARKtoken存入PantherSwap中增加流動性，獲得對應的LPToken；調用getReward()函數，流動性大量注入，抬高了LPtoken的價值，攻擊者獲得獎勵1億SHARK的獎勵，攻擊者抽離流動性后返還借出的閃電貸，完成攻擊。隨后，攻擊者通過Nerve跨鏈橋將它們分批次轉換為ETH，PeckShield「派盾」旗下的反洗錢態勢感知系統CoinHolmes將持續監控轉移的資產動態。

在PancakeBunny遭到閃電貸攻擊后，AutoSharkFinance曾發文分析PancakeBunny的攻擊原理，并強調了他們對安全的重視度：“我們共做了4次代碼審計，其中2次正在進行中。”

同類DeFi協議被攻擊后，協議開發者有沒有真的及時檢查自己的合約是否也存在類似的漏洞？是否提升了對于協議安全的重視度？從AutoSharkFinance被攻擊的事件來看，似乎還遠遠不夠。

PeckShield「派盾」相關安全負責人表示：“從已知的漏洞下手是攻擊者在尚在發展的DeFi領域常用的覓食方法，對于DeFi協議安全的重視，不是嘴上說說而已，而是要做到吾日三省代碼：協議上線前有沒有做靜態審計？其他協議遭到攻擊后，有沒有自查代碼，檢查是否出現類似漏洞？交互的協議有沒有安全風險？”

此外，PeckShield「派盾」提示投資者，在某一DeFi協議遭到攻擊后，需加強對同類協議的關注，避免同源風險，當遭到攻擊后其幣價發生暴跌時，建議投資者不要輕易去搶反彈

Tags：SHAANCPANSHARKDibs Shareanc幣未來價值預測YieldPandaSHARK幣

中幣下載