Merlin Labs - REKT



Seguridad más blanda que las barbas de Merlín.

El ataque a PancakeBunny sacó el conejo del sombrero, ahora una cadena de ataques sorprendentemente similares emerge de Binance Smart Chain.

$680,000 sustraídos de Merlin Lab.

Nos hemos puesto unas reglas aquí en rekt.news - generalmente no reportamos hacks de menos de $1M, pero cuando haya algo que valga la pena decir, lo diremos.

La misma técnica ha sido utilizada tres veces en una sola semana.

Los desarrolladores en BSC deben esforzarse más.

Crédito: watchpug

El 26 Mayo 2021, 03:59:05 AM +UTC, a menos de 48 hrs después del hack de Autoshark, Merlin Lab (otro fork de PancakeBunny) fue atacado de una manera similar a los hacks de Bunny y Autoshark.

Como resultado, el hacker fue capaz de sustraer ~240 ETH (~680K USD).

Detalles de la transacción en BscScan

1: Añade una suma pequeña de depósito a la bóveda LINK-BNB (con esta transacción).

2: Envía 180 CAKE al Vault contract LINK-BNB. (Esta es la clave que lleva al hack.)

3: LLama getReward con el depósito de la bóveda LINK-BNB del primer paso.

4: Dado el gran monto de tokens CAKE en el balance de la wallet del Vault contract (enviado por el hacker en el paso 2), regresa un monto grande de ganancia. Como resultado, el sistema acuñó 100 MERL como recompensa al hacker.

5: Repite 36 veces. Recibe 49K de tokens MERL en total.

6: Cambió tokens MERLIN por 240 ETH y transfirió fuera de BSC usando Anyswap.

El hacker usó el wallet balance de CAKE como ganancia (performanceFee) lo que puede ser fácilmente manipulado simplemente enviando el token CAKE al vault contract.

No documentamos estos ataques para ayudar a los hackers, aunque a veces nos agradecen nuestro trabajo.

Cada ataque deja una lección a los protocolos que sobreviven.

Si estas lecciones son ignoradas, y los usuarios pierden fondos como resultado, ¿qué dice eso sobre los fundadores y los auditores?

Merlin Labs fue auditado por Hacken el 15 de mayo, apenas 11 días antes de este exploit.

Ahora los dos toman un lugar en el fondo de nuestro leaderboard.

Deben esforzarse más.


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.