妖怪已经从瓶子里跑出来了?我们剖析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者的链上转账记录,发现了 Merlin Labs 同源攻击的一些蛛丝马迹。
2021 年 5 月 20 日,一群不知名的攻击者通过调用函数 getReward() 抬高 LP token 的价值,获得额外的价值 4,500 万美元的 BUNNY 奖励。5 月 25 日,PeckShield「派盾」预警发现,Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源闪电贷攻击。
2021 年 5 月 26 日,就在 AutoShark Finance 遭到攻击 24 小时后,PeckShield「派盾」安全人员通过剖析 PancakeBunny 和 AutoShark 攻击原理和攻击者的链上转账记录,发现了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻击。
迈阿密市长计划将比特币纳入401(k)退休储蓄:12月11日消息,迈阿密市长Francis Suarez在开始领取比特币工资一个月后,宣布计划将比特币用于他的401(k)退休储蓄中的一部分。Suarez在接受采访时表示:“我只是认为这是一项值得投资的资产。随着时间的推移,它显然会受到欢迎。这是我所相信的。”
Suarez强调,比特币的成功与人们对该系统的信心密切相关,该系统本质上是一个“开源的、不可操纵的系统”。这位市长透露,他已经开始通过第三方支付处理器Strike接收比特币支付的工资。市长还透露,市政府接受迈阿密居民用比特币支付的费用。Suarez探索了各种支持比特币支付退休储蓄的方案,并指出该市肯定会在2022年前建立一个相关的系统。(Cointelegraph)[2021/12/11 7:32:51]
所有上述三次攻击都有两个类似特征,攻击者盯上了 Fork PancakeBunny 的收益聚合器;攻击者完成攻击后,通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH。
BMEX合约研究院:越来越多机构持有ETH:BMEX合约研究院市场研究员Kevin表示,目前ETH以太坊市值排名升至全球资产第18位,约3971.6亿美元,其原因在于越来越多投资机构持有ETH。通过CoinShares数据可以看到,以太坊投资产品的周流入量持续增长。机构投资者上周购买了价值3020万美元的以太坊,使他们的以太坊总持有量达到创纪录的139亿美元。同时,世界顶级投行摩根大通在其一份研究报告中称,近期以太坊表现优于比特币。它认为,以太坊的流动性更具有弹性。在市场恢复阶段,以太坊交易深度恢复迅速。同时以太坊现货换手率远高于比特币。[2021/5/6 21:29:32]
有意思的是,在 PancakeBunny 遭到攻击后,Merlin Labs 也发文表示,Merlin 通过检查 Bunny 攻击事件的漏洞,不断通过细节反复执行代码的审核,为潜在的可能性采取了额外的预防措施。此外,Merlin 开发团队对此类攻击事件提出了解决方案,可以防止类似事件在 Merlin 身上发生。同时,Merlin 强调用户的安全是他们的头等大事。
然而,Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」称它的定位是 Bunny「兔子」 的挑战者,不幸的是,梅林的魔法终未逃过兔子的诅咒。
PeckShield「派盾」简述攻击过程:
这一次,攻击者没有借闪电贷作为本金,而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿,并获得相应的 LP Token,Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap,获取 CAKE 奖励,并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利;攻击者调用 getReward() 函数,这一步与 BUNNY 的漏洞同源,CAKE 大量注入,使攻击者获得大量 MERLIN 的奖励,攻击者重复操作,最终共计获得 4.9 万 MERLIN 的奖励,攻击者抽离流动性后完成攻击。
随后,攻击者通过 Nerve(Anyswap)跨链桥将它们分批次转换为 ETH,PeckShield「派盾」旗下的反态势感知系统 CoinHolmes 将持续监控转移的资产动态。
在这批 BSC DeFi 的浪潮上,如果 DeFi 协议开发者不提高对安全的重视度,不仅会将 BSC 的生态安全置于风险之中,而且会沦为攻击者睥睨的羊毛地。
从 PancakeBunny 接连发生的攻击模仿案来看,攻击者都不需要太高技术和资金的门槛,只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者,就因同源漏洞损失惨重,被嘲笑为“顽固的韭菜地” 。
世界上有两种类型的“游戏“,“有限的游戏“和“无限的游戏“。有限的游戏,其目的在于赢得胜利;无限的游戏,却旨在让游戏永远进行下去。
毫无疑问,无论 Fork Bunny 的 DeFi 协议接下来会不会认真自查代码,攻击者们的无限游戏将会持续进行下去
标签:BUNNYBUNUNNCAKEbunny币价格怎么掉那么厉害BunnyCoinPEPERUNNER币cake币价格今日行情
一直在中国偏远地区默默挖矿的比特币矿工们可能没有想到,自己会成为金融监管首当其冲的打击对象。 监管高压之下,出海?退圈?何去何从成为矿业从业者们集体面临的难题。PANews采访了众多矿业从业者,他们大多都在无奈地观望,期待政策还有缓和的余地,而出海则存在着更多未知的风险与挑战。
1.以太坊开发者在Ropsten测试EIP-1559 以太坊开发者Tim Beiko在推特发文表示,希望有关注他的以太坊Ropsten测试网巨鲸发送1000至10000 ETH到他的地址,用于测试EIP-1559协议。点击阅读 2.对比:各国央行眼中的加密货币 “暴涨暴跌”是比特币等加密货币的自带属性。
最近,比特币从高点发生巨大的回撤,创下了10年来的最大单月跌幅(-37.9%),大多数市场参与者对加密货币市场未来的走势感到十分焦虑和恐慌。从消息面来看,比特币最近的回撤主要有两个关键因素:一是马斯克对比特币态度摇摆不定,因为比特币挖矿消耗了大量能源的叙述与特斯拉的环保立场不符;二是国内监管机构的政策性利空。
讲个有意思的事,前阵子国务院金融委不是发了一条有关币圈的大消息么,大炸弹还没落地,币圈就染红了一片。 然后有意思的事发生了,一堆人第一时间向我发来问候。 圈内人清一水的问:套现还是抄底? 圈外人也清一水的问:你还好吗?亏钱没?是不是破产了? 圈内人就不说了,前有94,后有312,对消息都免疫了,套现和抄底无非就是赚多赚少的问题。
在过去的一周里,虚拟土地的需求出现了显著的增长,这要归功于一些土地出售活动和NFT交易。Decentraland的一处虚拟房产以709,020美元的价格售出,成为上周以来第二昂贵的NFT。 我们仍然可以将加密朋克(CryptoPunks)视为NFT的黄金标准,因为像素化角色一直占据着DappRadar上NFT销量前10名的位置。
5月31日Coingape消息指出,印度私营银行HDFC和SBI引用印度央行印度储备银行(RBI)2018年的废止通知告诫客户不要进行加密货币交易。印度央行随后发布了一份澄清通告,指出商业银行不应引述一份已失效的2018年4月的加密银行禁令,拒绝向参与数字资产交易的客户提供服务。