Протокол Merlin Labs - REKT



Чтобы говорить о безопасности, нужно иметь больше козырей в рукаве.

Атака на PancakeBunny заставила кролика вылезти из шляпы, и вот теперь на Binance Smart Chain происходит удивительно схожая череда атак.

У протокола Merlin Lab украдено $680,000.

У нас в rekt.news мы должны устанавливать себе правила - обычно мы не делаем репортажи об атаках, в которых задействовано меньше 1 миллиона долларов. Но если дело того стоит, мы о нем обязательно рассказываем.

Одна и та же техника была использована трижды за неделю.

Разработчики BSC должны работать получше.

Источник: watchpug

26 мая 2021, в 03:59:05 +UTC, меньше чем через 48 часов после хакерской атаки на протокол Autoshark. Merlin Lab (ещё один форк протокола PancakeBunny) был атакован таким же способом, как и в случае с хаком Bunny и Autoshark.

В результате, хакеру удалось забрать ~240 ETH (~680K USD).

Детали транзакции на BscScan.

1: Добавлена небольшая сумма для депозита в хранилище LINK-BNB Vault (с помощью этой транзакции).

2: Пересылка 180 CAKE в контракт хранилища LINK-BNB Vault. (Это ключ, ведущий к атаке.)

3: Выполнена функция getReward с помощью депозита в хранилище LINK-BNB Vault из первого шага.

4: Благодаря большому количеству токенов CAKE на балансе кошелька в контракте хранилища (которые хакер переслал в шаге 2) получается большое количество прибыли. В результате, система начеканила 100 MERL в качестве вознаграждения для хакера.

5: Действия повторяются 36 раз. Всего атакующим получено 49К токенов MERL.

6: Обмен токенов MERLIN на 240 ETH и трансфер за пределы BSC с помощью Anyswap.

Хакер использовал баланс кошелька CAKE как прибыль (performanceFee), который можно легко подменить, просто послав токен CAKE в контракт хранилища.

Мы документируем эти атаки не для того, чтобы помогать хакерам, хотя иногда они могут хотеть отблагодарить нас за нашу работу.

Каждая атака преподносит уроки остальным протоколам.

Если эти уроки игнорируются, а значит деньги пользователей теряются, то что это говорит об основателях и аудиторах?

Merlin Labs прошел аудит в Hacken 15-го мая, всего за 11 дней до этого эксплоита.

Теперь они оба занимают нижние строчки нашей доски почета.

Нужно попытаться получше.


Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.