打脸现场！分叉项目 Merlin 重演 PancakeBunny 遭遇，骇客 240 枚 ETH 入

妖怪已经从瓶子里跑出来了吗？我们分析了 PancakeBunny 和 AutoShark 的闪电贷攻击原理和攻击者在链上的转账记录，发现了Merlin Labs 同源攻击的蛛丝马迹。前情提要： 科普究竟什么是闪电贷？DeFi 近一个月就连爆 4 起相关攻击事件背景： BSC 项目 PancakeBunny 遭闪电贷攻击！估遭骇 2 亿美元，BUNNY 暴跌 99

2021 年5 月20 日，一群不知名的攻击者透过调用函数 getReward() 提高 LP token 的价值，获得额外价值4500 万美元的 BUNNY 奖励。5 月 25 日，PeckShield派盾预警发现，Fork PancakeBunny 的收益聚合器 AutoShark Finance 遭到 PancakeBunny 的同源闪电贷攻击。

2021 年 5 月 26 日，就在 AutoShark Finance 遭到攻击 24 小时后，笔者 PeckShield派盾安全人员透过分析 PancakeBunny 和 AutoShark 攻击原理和攻击者在链上的转帐记录，发现了 Fork PancakeBunny 的 Merlin Labs 也遭到同源攻击。

所有上述三次攻击都有两个类似特征，攻击者盯上了 Fork PancakeBunny 的收益聚合器；攻击者完成攻击后，通过 NerveAnyswap跨链桥将它们分批次转换为 ETH。

有趣的是，在 PancakeBunny 遭到攻击后，Merlin Labs 随即发文表示，Merlin 透过检查 Bunny 攻击事件的漏洞，不断反复执行程式码的审核，为潜在的可能性采取了额外的预防措施。

此外，Merlin 开发团队对此类攻击事件提出了解决方案，可以防止类似事件在 Merlin 身上发生。同时，Merlin 强调用户的安全是他们最大的事。

然而，Bunny 的遭遇在 Merlin 的身上重演。Merlin梅林称它的定位是 Bunny兔子 的挑战者，不幸的是，梅林的魔法终难逃兔子的诅咒。笔者简述攻击过程：

这一次，攻击者没有借闪电贷作为本金，而是将少量 BNB 存入 PancakeSwap 进行流动性挖矿，并获得相应的 LP Token，Merlin 的智能合约负责将攻击者的资产押入 PancakeSwap，获取 CAKE 奖励，并将 CAKE 奖励直接到 CAKE 池中进行下一轮的复利。

攻击者调用 getReward() 函数，这一步与 BUNNY 的漏洞同源，CAKE 的大量注入，使攻击者获得大量 MERLIN 的奖励，攻击者重复操作，最终共计获得 49 万 MERLIN 的奖励，在攻击者抽离流动性后完成攻击。

随后，攻击者通过 NerveAnyswap跨链桥将它们分批次转换为 ETH，PeckShield旗下的反洗钱感知系统 CoinHolmes 将持续监控转移的资产动态。

笔者提示：

从 PancakeBunny 接连发生的攻击模仿案来看，攻击者都不需要太高技术和资金的门槛，只要耐心地将同源漏洞在 Fork Bunny 的 DeFi 协议上重复试验就能捞上可观的一笔。

Fork 的 DeFi 协议可能尚未成为 Bunny 挑战者，就因同源漏洞损失惨重，被嘲笑为顽固的韭菜地 。

世界上有两种类型的游戏，有限的游戏和无限的游戏。有限的游戏，目的在于赢得胜利；无限的游戏，却旨在让游戏永远进行下去。

毫无疑问，无论 Fork Bunny 的 DeFi 协议接下来会不会认真检视其程式码，攻击者们的无限游戏仍将持续进行下去。

相关报导

LINE 与 Messenger 不定期为大家服务