BUNNY:又一打臉現場：Fork Bunny的Merlin損失240ETH

妖怪已經從瓶子里跑出來了？我們剖析了PancakeBunny和AutoShark的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄，發現了MerlinLabs同源攻擊的一些蛛絲馬跡。

2021年5月20日，一群不知名的攻擊者通過調用函數getReward()抬高LPtoken的價值，獲得額外的價值4,500萬美元的BUNNY獎勵。5月25日，PeckShield「派盾」預警發現，ForkPancakeBunny的收益聚合器AutoSharkFinance遭到PancakeBunny同源閃電貸攻擊。

2021年5月26日，就在AutoSharkFinance遭到攻擊24小時后，PeckShield「派盾」安全人員通過剖析PancakeBunny和AutoShark攻擊原理和攻擊者的鏈上轉賬記錄，發現了ForkPancakeBunny的MerlinLabs遭到同源攻擊。

清華大學教授沈陽：元宇宙是信息技術產業又一次生產力大提升:5月2日消息，清華大學新聞學院元宇宙文化實驗室主任沈陽在接受《中國科技信息》雜志采訪時稱，元宇宙與當初的移動互聯網類似，是人類在信息技術產業領域的又一次生產力大提升。未來元宇宙在跨平臺要素方面會發展比較快。如果以目前的產品對標，未來VR很大程度上會替代現有的個人計算機，AR眼鏡會替代手機，手機會逐步退化成一個計算設備，而不是交互設備。他還認為，看待元宇宙絕不能存在投機的目光。做一個極端性的假設，假如蘋果推出元宇宙設備但遇冷，那么可能投機者會選擇出局，就混不下去了。只有真正的務實者和胸懷理想的企業才能堅持下來。[2022/5/2 2:45:27]

所有上述三次攻擊都有兩個類似特征，攻擊者盯上了ForkPancakeBunny的收益聚合器；攻擊者完成攻擊后，通過Nerve跨鏈橋將它們分批次轉換為ETH。

聲音 | 宋清輝：區塊鏈未來有可能會成為又一個“互聯網+”:經濟學家宋清輝發文稱：區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新型應用模式，能夠有效解決去中心化和人與人的信任問題。區塊鏈的建設和運用，將能夠很好地解決農業產業發展、營商環境建設等各個領域，讓城市變得更美好。當前，我國對區塊鏈是持支持和鼓勵態度的，特別是在制度建設、技術研發方面投入了很大的資源，將來勢必會產生積極而廣泛的影響——區塊鏈未來將會更加普及，有可能會成為又一個“互聯網+”。[2019/11/10]

日本又一交易所宣布延期業務:日本繼DMM Bitcoin加密貨幣交易所之后，DMM集團的加密貨幣交易所也宣布將延期其原定2018年春開始的業務，時間未定。其公告稱，該交易所正為在金融廳申請注冊做準備。[2018/5/10]

有意思的是，在PancakeBunny遭到攻擊后，MerlinLabs也發文表示，Merlin通過檢查Bunny攻擊事件的漏洞，不斷通過細節反復執行代碼的審核，為潛在的可能性采取了額外的預防措施。此外，Merlin開發團隊對此類攻擊事件提出了解決方案，可以防止類似事件在Merlin身上發生。同時，Merlin強調用戶的安全是他們的頭等大事。

繼蔡凱龍之后，又一券商大佬加盟火幣:此前曾有消息稱袁煜明將就職于火幣集團，就此事金色財經向火幣官方進行確認，火幣官方表示：“袁煜明已經正式加盟火幣中國，擔任火幣區塊鏈應用研究院院長，負責區塊鏈行業研究與規范制度。”據了解，袁煜明曾囊括業內幾乎所有重量級大獎，包括新財富、水晶球、保險行業最佳分析師，第一財經，湯森路透，天眼等。[2018/3/3]

然而，Bunny的不幸在Merlin的身上重演。Merlin「梅林」稱它的定位是Bunny「兔子」的挑戰者，不幸的是，梅林的魔法終未逃過兔子的詛咒。

PeckShield「派盾」簡述攻擊過程：

這一次，攻擊者沒有借閃電貸作為本金，而是將少量BNB存入PancakeSwap進行流動性挖礦，并獲得相應的LPToken，Merlin的智能合約負責將攻擊者的資產押入PancakeSwap，獲取CAKE獎勵，并將CAKE獎勵直接到CAKE池中進行下一輪的復利；攻擊者調用getReward()函數，這一步與BUNNY的漏洞同源，CAKE大量注入，使攻擊者獲得大量MERLIN的獎勵，攻擊者重復操作，最終共計獲得4.9萬MERLIN的獎勵，攻擊者抽離流動性后完成攻擊。

隨后，攻擊者通過Nerve跨鏈橋將它們分批次轉換為ETH，PeckShield「派盾」旗下的反洗錢態勢感知系統CoinHolmes將持續監控轉移的資產動態。

PeckShield「派盾」提示：ForkPancakeBunny的DeFi協議務必仔細檢查自己的合約是否也存在類似的漏洞，或者尋求專業的審計機構對同類攻擊進行預防和監控，不要淪為下一個「不幸者」。

在這批BSCDeFi的浪潮上，如果DeFi協議開發者不提高對安全的重視度，不僅會將BSC的生態安全置于風險之中，而且會淪為攻擊者睥睨的羊毛地。

從PancakeBunny接連發生的攻擊模仿案來看，攻擊者都不需要太高技術和資金的門檻，只要耐心地將同源漏洞在ForkBunny的DeFi協議上重復試驗就能撈上可觀的一筆。Fork的DeFi協議可能尚未成為Bunny挑戰者，就因同源漏洞損失慘重，被嘲笑為“頑固的韭菜地”。

世界上有兩種類型的“游戲“，“有限的游戲“和“無限的游戲“。有限的游戲，其目的在于贏得勝利；無限的游戲，卻旨在讓游戲永遠進行下去。

毫無疑問，無論ForkBunny的DeFi協議接下來會不會認真自查代碼，攻擊者們的無限游戲將會持續進行下去

Tags：BUNNYBUNUNNCAKEBunny King MetaverseBunnyTokenSunny AggregatorDRYCAKE幣

UNI