Merlin Labs - REKT



Il faut avoir plus d’un tour dans sa poche pour assurer sa sécurité.

L'attaque de PancakeBunny a fait sortir le lapin du chapeau, et voilà qu'une série d'attaques étonnamment similaires sévit sur la Binance Smart Chain.

680 000 $ ont été dérobés à Merlin Lab.

Nous devons nous fixer des critères, ici, à rekt.news. Généralement, nous ne ne nous penchons pas sur les hacks dont le montant est inférieur à 1 million de dollars, mais, quand quelque chose vaut la peine d'être raconté, nous le faisons.

La même technique a été utilisée trois fois en une semaine.

Les développeurs qui opèrent sur la BSC doivent faire des efforts.

Source : watchpug

Le 26 mai 2021 à 03:59:05 AM +UTC, moins de 48 heures après le hack d'Autoshark. Merlin Lab, (un autre fork de PancakeBunny), a été attaqué selon un procédé similaire à ceux de Bunny et d'Autoshark.

Le hacker a ainsi pu retirer ~240 ETH (~680k USD).

Détails de la transaction sur BscScan.

1 : On ajoute une petite somme de dépôt dans le Vault LINK-BNB (avec cette transaction).

2 : On envoie 180 CAKE au contrat du Vault LINK-BNB (c'est la clé qui mène au hack).

3 : On call getReward avec le dépôt du Vault LINK-BNB de la première étape.

4 : Avec la grande quantité de token CAKE dans le solde du portefeuille du contrat du vault (envoyé par le hacker à l'étape 2), il en résulte une grande quantité de bénéfices. Le système a alors mint 100 MERL pour récompenser le hacker.

5 : On répète l’opération 36 fois. On reçoit au total 49k MERL token.

6 : On swap les MERL token pour 24 ETH et on les sort de la BSC en utilisant Anyswap.

Le hacker a utilisé le solde du portefeuille en CAKE comme profit (performanceFee), qui peut être facilement modifié en envoyant simplement le token CAKE au contrat du vault.

Nous ne documentons pas ces attaques pour aider les hackers, bien que, parfois, ils puissent nous remercier pour notre travail.

Chaque attaque fournit une leçon pour les protocoles qui demeurent.

Si ces leçons ne sont pas prises en compte et que les fonds des utilisateurs sont perdus, qu'est-ce que cela dit des fondateurs et des auditeurs ?

Merlin Labs a été audité par Hacken le 15 mai, soit 11 jours seulement avant cet exploit.

Ils se retrouvent maintenant tous les deux en bas de notre classement.

Ils doivent faire plus d'efforts.


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.