国家为什么不关闭火币网

怪物已经用完瓶子了？我们分析了PancakeBunny和AutoShark的闪电租借攻击原理和攻击者的链转移记录，发现了梅林实验室同源攻击的一些线索。

2021年5月20日，一群不知名的攻击者通过调用函数get悬赏()提高了LP令牌的价值，并获得了价值4500万美元的额外BUNNY奖励。5月25日，PeckShield“发送了一个盾牌”警告说，富克潘卡兔兔的收益聚合器AutoShark  Finance被潘卡兔兔的同源闪电贷款攻击。

2021年5月26日，在AutoShark  Finance遇袭仅仅24小时后，PeckShield的“送盾”安全人员通过分析煎饼兔和AutoShark的攻击原理以及攻击者的链转移记录，发现Fork  PancakeBunny的梅林实验室遭到了同一个来源的攻击。

以上三种攻击都有两个相似的特点。攻击者正盯着福克潘卡凯巴尼的收益聚合器；攻击者完成攻击后，通过neural(any  swap)跨链桥批量转换为ETH。

有趣的是，在PancakeBunny被攻击后，梅林实验室还发布了一份文件，称梅林通过检查Bunny攻击的漏洞，并通过细节反复执行代码审查，对潜在的可能性采取了额外的预防措施。此外，梅林的开发团队针对此类攻击提出了解决方案，可以防止类似事件在梅林身上发生。同时，梅林强调，用户的安全是他们的重中之重。

然而，兔子的不幸再次发生在梅林身上。梅林“梅林”称之为兔子“兔子”的挑战者。可惜梅林的魔法始终逃不过兔子的诅咒。

PeckShield“发送屏蔽”简要描述了攻击过程：

这一次，攻击者并没有借用闪电贷款作为本金，而是将少量BNB存入PanCAKESwap进行流动性挖掘，获得了相应的LP  Token。梅林的智能合约负责将攻击者的资产放入PanCAKESwap，获取蛋糕奖励，并将蛋糕奖励直接放入蛋糕池进行下一轮复利；攻击者调用GetResource()函数，和BUNNY的漏洞一样。CAKE大量注射，使得攻击者获得大量MERLIN奖励。攻击者重复该操作，最终获得总计49，000 MERLIN奖励。攻击者在收回流动性后完成攻击。

随后，攻击者通过neural(any  swap)跨链桥将它们批量转换为ETH，PeckShield“Paidun”下的反洗钱态势感知系统CoinHolmes将持续监控资产转移。

PeckShield的“发送盾牌”提示：Fork  PancakeBunny的DeFi协议必须仔细检查其合约，是否存在类似漏洞，或者寻求专业的审计机构来预防和监控类似攻击，以免成为下一个“不幸者”。

在这一波BSC  DeFi中，如果DeFi协议的开发者不更加注重安全，不仅会把BSC的生态安全置于危险之中，还会成为攻击者的羊窝。

从PancakeBunny连续的攻击模仿案例来看，攻击者不需要太高的技术和资金门槛，只要耐心反复测试Fork  Bunny的DeFi协议上的同源漏洞，就可以获得可观的利润。Fork的DeFi协议可能并没有成为兔女郎挑战者，但却因为同源漏洞而遭受重大损失，被嘲讽为“顽固韭菜地”。

世界上有“游戏”两种，“有限游戏”和“无限游戏”。有限的游戏，其目的是为了赢；游戏不限，但旨在让游戏永远持续下去。