Otra bofetada en la cara: Merlin de Fork Bunny perdió 240ETH

¿El genio se ha escapado de la botella? Analizamos los principios de ataque de préstamo relámpago de PancakeBunny y AutoShark y los registros de transferencia en cadena del atacante, y encontramos algunas pistas del ataque del mismo origen de Merlin Labs.

El 20 de mayo de 2021, un grupo de atacantes desconocidos infló el valor del token LP llamando a la función getReward() para obtener una recompensa BUNNY adicional por valor de 45 millones de dólares. El 25 de mayo, la alerta "Pai Shield" de PeckShield descubrió que el agregador de ingresos de Fork PancakeBunny, AutoShark Finance, fue atacado por el préstamo flash homólogo de PancakeBunny.

Dynamics | Nanwei Software: La comunicación de certificados blockchain es otro logro innovador de la empresa en el campo de los certificados electrónicos: Nanwei Software (SH603636) dijo en respuesta a las preguntas de los inversores que la comunicación de certificados blockchain es otro logro innovador de la empresa en el campo de los certificados electrónicos certificados Un logro innovador, la plataforma de asuntos gubernamentales es una plataforma de apoyo importante para la empresa en el campo del "gobierno digital" en el futuro.La cooperación profunda con la economía de Ali ayudará a la empresa a utilizar activamente las capacidades centrales de Alibaba la tecnología básica de la economía y mejorar la competitividad central del "gobierno digital" de la empresa en el campo del gobierno. [2019/9/18]

El 26 de mayo de 2021, solo 24 horas después de que AutoShark Finance fuera atacado, el personal de seguridad de PeckShield descubrió que Merlin Labs de Fork PancakeBunny fue pirateado al analizar los principios de ataque de PancakeBunny y AutoShark y los registros de transferencia en cadena del atacante.

Noticias | Informe de seguridad de PeckShield: Reaparecen los ataques "Fake EOS" Otro juego de preguntas de EOS ha sido pirateado: según los datos de PeckShield Situational Awareness Platform el 21 de noviembre: entre las 15:43 y las 18:31 de hoy, los piratas informáticos (kuybupeykieh) lanzaron un ataque en el contrato del juego de preguntas EOS (vegasgame111) y ganó un total de cientos de EOS Después de rastrear los datos en la cadena, se descubrió que para evitar que se rastreara el flujo de fondos, el pirata informático usó docenas de subcuentas operaciones de creación para transferir secuencialmente los fondos obtenidos. El personal de seguridad de PeckShield analizó y descubrió que el pirata informático utilizó la vulnerabilidad "EOS falsa" para llevar a cabo el ataque. Esta vulnerabilidad era relativamente común en octubre. Sin embargo, como el desarrollo de contratos de la mayoría de los desarrolladores tiende a ser estandarizado, los ataques similares se han vuelto raros. Algunos juegos de menor escala también pueden tener vulnerabilidades similares. Por la presente, PeckShield recuerda a los desarrolladores de juegos y a los jugadores que estén alertas a los riesgos de seguridad. [2018/11/21]

Los tres ataques mencionados anteriormente tienen dos características similares, el atacante apuntó al agregador de ingresos de Fork PancakeBunny; después de que el atacante completó el ataque, se convirtieron en ETH en lotes a través del puente de cadena cruzada Nerve (Anyswap).

Otro banco prohíbe las compras de bitcoins con tarjetas bancarias: Scotiabank ya no podrá comprar criptomonedas con tarjetas de crédito y débito, dijo en un correo electrónico a los clientes. La postura agresiva del banco se debió a "factores regulatorios y de riesgo en continua evolución", decía el correo electrónico. La decisión parece afectar solo a las tarjetas Visa emitidas por Scotiabank, no a las cuentas corrientes regulares. [2018/3/8]

Curiosamente, después de que PancakeBunny fuera atacado, Merlin Labs también emitió un documento que indica que Merlin verificó las vulnerabilidades del ataque Bunny y realizó repetidas revisiones de código a través de los detalles, tomando precauciones adicionales para posibles posibilidades. Además, el equipo de desarrollo de Merlin ha propuesto soluciones a este tipo de ataques, que pueden evitar que le sucedan incidentes similares a Merlin. Al mismo tiempo, Merlin destaca que la seguridad de los usuarios es su máxima prioridad.

Otra institución financiera en Tailandia cancela cuentas bancarias involucradas en transacciones de criptomonedas: una importante institución financiera en Tailandia, el Krungthai Bank (Banco de Tailandia), de propiedad estatal, ha cerrado cuentas para transacciones de criptomonedas, informó el Bangkok Post el lunes. El banco se ha convertido en el segundo banco de Tailandia en "cancelar cuentas involucradas en transacciones de criptomonedas en el intercambio de activos digitales de Tailandia TDAX" después de Bangkok Bank. Todavía hay dos instituciones financieras que brindan servicios a TDAX. [2018/2/28]

Sin embargo, la desgracia de Bunny se repite para Merlín. Merlin "Merlin" afirma que su posicionamiento es el retador de Bunny "rabbit". Desafortunadamente, la magia de Merlin no ha escapado a la maldición del conejo.

PeckShield describe brevemente el proceso de ataque:

Esta vez, el atacante no tomó prestado el préstamo flash como principal, sino que depositó una pequeña cantidad de BNB en PancakeSwap para extraer liquidez y obtuvo el token LP correspondiente. El contrato inteligente de Merlin es responsable de depositar los activos del atacante en PancakeSwap para obtener CAKE recompensas y transfiere directamente las recompensas de CAKE al fondo CAKE para la siguiente ronda de interés compuesto; el atacante llama a la función getReward(), que tiene el mismo origen que la vulnerabilidad BUNNY, y se inyecta una gran cantidad de CAKE, lo que permite que atacante para obtener una gran cantidad de recompensas MERLIN, y el atacante repite Finalmente, se obtuvo un total de 49,000 recompensas MERLIN, y el atacante completó el ataque después de retirar liquidez.

Posteriormente, el atacante los convirtió en ETH en lotes a través del puente de cadena cruzada Nerve (Anyswap), y CoinHolmes, un sistema de conciencia situacional contra el lavado de dinero bajo PeckShield, continuará monitoreando la dinámica de los activos transferidos.

En esta ola de BSC DeFi, si los desarrolladores del protocolo DeFi no aumentan el énfasis en la seguridad, no solo pondrán en riesgo la seguridad ecológica de BSC, sino que también se convertirán en un lugar confuso para los atacantes.

A juzgar por los sucesivos casos de imitación de ataques de PancakeBunny, los atacantes no necesitan un umbral técnico y financiero demasiado alto, siempre que prueben pacientemente la vulnerabilidad del mismo origen en el protocolo DeFi de Fork Bunny repetidamente, pueden hacer una suma considerable. Es posible que el protocolo DeFi de Fork no se haya convertido en un retador de Bunny, pero ha sido ridiculizado como un "puerro obstinado" debido a las grandes pérdidas debido a la vulnerabilidad del mismo origen.

Hay dos tipos de "juegos" en el mundo, "juegos finitos" y "juegos infinitos". Los juegos finitos tienen como objetivo ganar; los juegos infinitos tienen como objetivo mantener el juego para siempre.

No hay duda de que, independientemente de si el protocolo DeFi de Fork Bunny autoverificará seriamente el código a continuación, el juego infinito de los atacantes continuará

Tags：

Intercambio de Ethereum