又一打臉現場：Fork Bunny的Merlin損失240ETH_UNN

妖怪已經從瓶子里跑出來了？我們剖析了 PancakeBunny 和 AutoShark 的閃電貸攻擊原理和攻擊者的鏈上轉賬記錄，發現了 Merlin Labs 同源攻擊的一些蛛絲馬跡。

2021 年 5 月 20 日，一群不知名的攻擊者通過調用函數 getReward() 抬高 LP token 的價值，獲得額外的價值 4,500 萬美元的 BUNNY 獎勵。5 月 25 日，PeckShield「派盾」預警發現，Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 同源閃電貸攻擊。

又一項以太坊教育計劃因擔心伊朗制裁而取消:金色財經報道，眾籌平臺Gitcoin停止了一項旨在幫助講波斯語的學生學習以太坊編程的活動。此前，區塊鏈初創公司ConsenSys將50名伊朗學生從其智能合約編程課程中除名。Gitcoin在總部位于西班牙巴塞羅那的Giveth平臺上繼續進行該活動，并最終為創建了該課程的伊朗裔志愿者籌集了超過7558美元，并將向任何講波斯語的人免費發布該課程。[2021/12/21 7:52:18]

2021 年 5 月 26 日，就在 AutoShark Finance 遭到攻擊 24 小時后，PeckShield「派盾」安全人員通過剖析 PancakeBunny 和 AutoShark 攻擊原理和攻擊者的鏈上轉賬記錄，發現了 Fork PancakeBunny 的 Merlin Labs 遭到同源攻擊。

ARK基金創始人：比特幣是1600年代以來又一個新的資產類別:ARK基金創始人Cathiewood最近在MSCI主辦、CFAInstitute和萬得3C協辦的直播中表示，在互聯網發展的早期階段，很少有人想到它會和商業聯系在一起，因為早期的互聯網主要是為情報部門、國防部門和學術界服務的，直到1991年之前，大眾還不允許被使用互聯網。所以最初的互聯網理所當然的不存在支付系統，我們認為區塊鏈技術就是互聯網內生的支付平臺，而比特幣就是所有加密貨幣中的儲備貨幣，我們認為區塊鏈技術大部分的價值會在向少數幾種加密貨幣匯聚。至于以區塊鏈技術為核心的去中心化的金融幾乎已經發展出一個平行的金融服務生態系統，包括投資、租賃、衍生品，幾乎包含傳統金融服務的方方面面。區塊鏈技術還處于發展的初期，它風險很大，但我們相信對其生態系統的管控治理已經得到很大程度的改善，因為疫情之后加密資產的崩潰，以及很多投資者破產，使得對區塊鏈的管控更加完善。我們也看到越來越多的機構投資者開始投資比特幣，我們也知道比特幣的總體供應只有2100萬枚，而現在已經到了1900萬，所以它具備稀缺性的特征，使之可以被看成是數字黃金。我們認為機構投資者的介入是一劑強心劑，而且比特幣的價格跟其他加密資產并沒有什么相關性。因此，我們相信，比特幣是1600年代以來，我們發現的又一個新的資產類別。過去六個月，最讓我們驚訝的就是像特斯拉這樣的公司開始買入比特幣以分散持有現金的風險，這有可能是因為這些公司想在非洲拓展業務，而這些地區由于本國貨幣幣值不穩定，很難進行交易。[2021/3/26 19:19:28]

所有上述三次攻擊都有兩個類似特征，攻擊者盯上了 Fork PancakeBunny 的收益聚合器；攻擊者完成攻擊后，通過 Nerve（Anyswap）跨鏈橋將它們分批次轉換為 ETH。

諾貝爾經濟學家席勒：比特幣可能是又一次失敗的貨幣實驗:5月21日，諾貝爾經濟學獎獲得者、耶魯大學教授羅伯特·希勒（Robert Shiller）在新發布的一篇博客中表示，加密貨幣市場的出現正在模仿歷史上一些最失敗的貨幣實驗。他說盡管有人警告稱這可能是一個騙局，但人們對加密貨幣市場的熱情依然高漲。他說，人們必須記住，重塑貨幣的嘗試在歷史上一直都存在。然而，他補充說，盡管新的貨幣創新在開始時令人興奮，但它們未能持續下去。[2018/5/22]

繼蔡凱龍之后，又一券商大佬加盟火幣:此前曾有消息稱袁煜明將就職于火幣集團，就此事金色財經向火幣官方進行確認，火幣官方表示：“袁煜明已經正式加盟火幣中國，擔任火幣區塊鏈應用研究院院長，負責區塊鏈行業研究與規范制度。”據了解，袁煜明曾囊括業內幾乎所有重量級大獎，包括新財富、水晶球、保險行業最佳分析師，第一財經，湯森路透，天眼等。[2018/3/3]

有意思的是，在 PancakeBunny 遭到攻擊后，Merlin Labs 也發文表示，Merlin 通過檢查 Bunny 攻擊事件的漏洞，不斷通過細節反復執行代碼的審核，為潛在的可能性采取了額外的預防措施。此外，Merlin 開發團隊對此類攻擊事件提出了解決方案，可以防止類似事件在 Merlin 身上發生。同時，Merlin 強調用戶的安全是他們的頭等大事。

然而，Bunny 的不幸在 Merlin 的身上重演。Merlin「梅林」稱它的定位是 Bunny「兔子」 的挑戰者，不幸的是，梅林的魔法終未逃過兔子的詛咒。

PeckShield「派盾」簡述攻擊過程：

這一次，攻擊者沒有借閃電貸作為本金，而是將少量 BNB 存入 PancakeSwap 進行流動性挖礦，并獲得相應的 LP Token，Merlin 的智能合約負責將攻擊者的資產押入 PancakeSwap，獲取 CAKE 獎勵，并將 CAKE 獎勵直接到 CAKE 池中進行下一輪的復利；攻擊者調用 getReward() 函數，這一步與 BUNNY 的漏洞同源，CAKE 大量注入，使攻擊者獲得大量 MERLIN 的獎勵，攻擊者重復操作，最終共計獲得 4.9 萬 MERLIN 的獎勵，攻擊者抽離流動性后完成攻擊。

隨后，攻擊者通過 Nerve（Anyswap）跨鏈橋將它們分批次轉換為 ETH，PeckShield「派盾」旗下的反洗錢態勢感知系統 CoinHolmes 將持續監控轉移的資產動態。

在這批 BSC DeFi 的浪潮上，如果 DeFi 協議開發者不提高對安全的重視度，不僅會將 BSC 的生態安全置于風險之中，而且會淪為攻擊者睥睨的羊毛地。

從 PancakeBunny 接連發生的攻擊模仿案來看，攻擊者都不需要太高技術和資金的門檻，只要耐心地將同源漏洞在 Fork Bunny 的 DeFi 協議上重復試驗就能撈上可觀的一筆。Fork 的 DeFi 協議可能尚未成為 Bunny 挑戰者，就因同源漏洞損失慘重，被嘲笑為“頑固的韭菜地” 。

世界上有兩種類型的“游戲“，“有限的游戲“和“無限的游戲“。有限的游戲，其目的在于贏得勝利；無限的游戲，卻旨在讓游戲永遠進行下去。

毫無疑問，無論 Fork Bunny 的 DeFi 協議接下來會不會認真自查代碼，攻擊者們的無限游戲將會持續進行下去

Tags：UNNBUNNYBUNCAKEbunnypark幣價格crazybunny幣是什么時候出Bunny InuCAKECRYPT

比特幣價格實時行情