DeFi 收益聚合器Dot.Finance 遭受閃電貸攻擊,PeckShield「派盾」第一時間定位並分析發現,此次攻擊是PancakeBunny 的同源攻擊。
受到攻擊的影響,Dot.Finance 的代幣PINK 短時急跌35%,從0.77 USD 跌至約0.5 USD。
PeckShield「派盾」簡述攻擊過程:
首先攻擊者從PancakeSwap 閃電貸中藉出100 Cake,並將藉來的Cake 轉入VaultPinkBNB合約中,導致VaultPinkBNB.getReward() 獲取到錯誤的balanceOf 造成performanceFee 變成一個非預期的巨大值。
最終鑄造PINK 代幣獎勵使用了此非預期的performanceFee 參數,導致額外鑄造了大量的PINK 代幣給攻擊者,攻擊者獲利900.89 BNB(合計約$429,724)。
有意思的是,不知道是吃瓜群眾過於熱心,還是Poly Network 事件的後勁過大,有旁觀者開始“友情提示”攻擊者小心操作,疑被盯上。但這一次,並未收到攻擊者的慷慨回禮。
迄今為止,基於PancakeBunny 同源攻擊的DeFi 協議至少達到5 個,損逾5,000 萬美元。
PeckShield「派盾」提示,Fork Bunny 的DeFi 協議在專業人士的幫助下認真自查代碼二至三次,建立風控熔斷機制,引入第三方安全公司的態勢感知情報服務,避免同源攻擊的發生