Shark闪跌 99% Fork了Bunny的代码还Fork了它的攻击

雍和比特币 这一周，遭到闪电贷进犯的 DeFi 协议的币价，就像 5 月的气候–说崩就崩。在眼下，频频的闪电贷进犯再次演出，一周连续几个协议的代币价格几乎归零，涉及到的丢失金额数百上千万，DeFi 协议开发者真的在频遭进犯后提高对代码安全的注重了吗？北京时间 5 月 24 日，PeckShield 「派盾」预警显现，Fork 收益聚合器 PancakeBunny 的 DeFi 协议 AutoShark Finance 遭到闪电贷进犯，受进犯事情的影响，Shark 的价格闪崩，跌幅短时到达 99%。PeckShield 「派盾」第一时间追寻并剖析发现，此次进犯办法与 5 天前遭到闪电贷进犯的 PancakeBunny 的进犯手法相似。据 AutoShark Finance 介绍，它根据 BSC 链上 交易量 Top 3 的去中心化交易所 PantherSwap，而非 PancakeSwap，这使得它幸免于 PancakeBunny 的进犯。用户可在 PantherSwap 上做市，获取的 LP 代币凭据，能够放入 AutoShark Finance 中产生复利收益。不幸的是，它没有逃过 Fork PancakeBunny代码带来的同源缝隙进犯。PeckShield 「派盾」简述进犯进程：进犯者从 PancakeSwap 借出 10 万 BNB 的闪电贷，并将其间 5 万 BNB 兑换为 SHARK token，将剩下的 5 万 BNB 和兑换的 SHARK token 存入 PantherSwap 中添加流动性，取得对应的 LP Token；调用 getReward() 函数，流动性很多注入，抬高了 LP token 的价值，进犯者取得奖赏 1 亿 SHARK 的奖赏，进犯者抽离流动性后返还借出的闪电贷，完结进犯。随后，进犯者经过 Nerve（Angswap）跨链桥将它们分批次转换为 ETH，PeckShield「派盾」旗下的反洗钱态势感知体系 CoinHolmes 将继续监控搬运的财物动态。在 PancakeBunny 遭到闪电贷进犯后，AutoShark Finance 曾发文剖析 PancakeBunny 的进犯原理，并强调了他们对安全的注重度：“咱们共做了 4 次代码审计，其间 2 次正在进行中。”同类 DeFi 协议被进犯后，协议开发者有没有真的及时查看自己的合约是否也存在相似的缝隙？是否提高了关于协议安全的注重度？从 AutoShark Finance 被进犯的事情来看，好像还远远不够。PeckShield 「派盾」相关安全负责人表明：“从已知的缝隙下手是进犯者在尚在开展的 DeFi 范畴常用的寻食办法，关于 DeFi 协议安全的注重，不是嘴上说说罢了，而是要做到吾日三 代码：协议上线前有没有做静态审计？其他协议遭到进犯后，有没有自查代码，查看是否呈现相似缝隙？交互的协议有没有安全危险？”此外，PeckShield 「派盾」提示投资者，在某一 DeFi 协议遭到进犯后，需加强对同类协议的重视，防止同源危险，当遭到进犯后其币价产生暴降时，主张投资者不要容易去抢反弹