DeFi 收益聚合器 Dot.Finance 遭受闪电贷攻击，PeckShield「派盾」第一时间定位并分析发现，此次攻击是 PancakeBunny 的同源攻击。

受到攻击的影响，Dot.Finance 的代币 PINK 短时急跌 35%，从 0.77 USD 跌至约 0.5 USD。

PeckShield「派盾」简述攻击过程：

首先攻击者从 PancakeSwap 闪电贷中借出 100 Cake，并将借来的 Cake 转入VaultPinkBNB合约中，导致 VaultPinkBNB.getReward() 获取到错误的 balanceOf 造成 performanceFee 变成一个非预期的巨大值。

最终铸造 PINK 代币奖励使用了此非预期的 performanceFee 参数，导致额外铸造了大量的 PINK 代币给攻击者，攻击者获利 900.89 BNB（合计约 $429,724）。

有意思的是，不知道是吃瓜群众过于热心，还是 Poly Network 事件的后劲过大，有旁观者开始“友情提示”攻击者小心操作，疑被盯上。但这一次，并未收到攻击者的慷慨回礼。

迄今为止，基于 PancakeBunny 同源攻击的 DeFi 协议至少达到 5 个，损逾 5,000 万美元。

PeckShield「派盾」提示，Fork Bunny 的 DeFi 协议在专业人士的帮助下认真自查代码二至三次，建立风控熔断机制，引入第三方安全公司的态势感知情报服务，避免同源攻击的发生。