MERLIN LABS - 翻车

安全性比巫师的袖子还松。

PancakeBunny(https://www.rekt.news/zh/pancakebunny-rekt/)的攻击把兔子从帽子里拉出来，现在一系列惊人相似的攻击出现在[币安智能链](https://www.rekt.news/zh/bsc-the-bridge-to-defi/)。

从Merlin Lab拿走了68万美元。

在这里我们必须为rekt.news制定一些标准——一般来说，我们不会报道少于100万美元的黑客行为，但是当有值得说的东西时，我们也会报道。

同样的方法在一周内被使用了三次。

BSC 开发人员必须更加努力。

来源: watchpug

2021年5月26日，UTC时间凌晨03:59:05，Autoshark被攻击后不到48小时。Merlin Lab(PancakeBunny的另一个分叉)也遭到了类似的攻击。

结果是黑客拿走大约240ETH (约68万美元的USD)。

BscScan的交易详情。

1：添加一小笔存款到LINK-BNB金库(这笔交易)。

2：发送180个CAKE到LINK-BNB金库合约(这是黑客攻击的关键)。

3：用getReward调用从第一步中存入LINK-BNB金库的资金。

4：随着大量的CAKE代币在金库合约的钱包余额中(由黑客在步骤2中发送) ，它回报了大量的利润。结果，系统创造了100个MERL作为对黑客的奖励。

5：重复36次。总共收到4.9万的MERL代币。

6：将MERLIN代币兑换为240ETH并使用Anyswap转移出BSC。

黑客利用钱包的CAKE余额作为利润(performanceFee)，只需将CAKE代币发送到金库合约即可轻易篡改该利润。

我们本意并不是记录这些攻击来帮助黑客，尽管有时他们可能会感谢我们的工作。

每一次攻击都为留下的其他协议提供了一个教训。

如果这些经验教训被忽视，意味着用户的资金流失，那么创始人和审计师又该如何回应呢？

5月15日，也就是此次攻击发生前11天，Hacken对Merlin Labs进行了审计。

现在他们都在我们的排行榜底部占有一席之地。

必须更加努力。

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。