BTC/HKD+2.28%
ETH/HKD+1.71%
LTC/HKD+0.07%
DOT/HKD-0.21%
ADA/HKD+0.7%
SOL/HKD+3.35%
XRP/HKD-0.25%
DOGE/US+2.57%一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
加密總市值跌至1.07萬億美元,24小時跌幅5.2%:金色財經報道,據CoinGecko數據顯示,加密總市值跌至1.07萬億美元,24小時跌幅達5.2%。[2023/3/3 12:40:03]
二、事件分析
攻擊過程分析
1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
Unbanked與Moorwand合作提供加密支付卡服務:12月19日消息,基于區塊鏈的全球金融科技平臺Unbanked宣布,與Moorwand合作在英國和歐洲其他地區推出加密支付卡,將允許其客戶在不同的商戶消費自己的數字資產。(Coinspeaker)[2022/12/19 21:53:56]
2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。
3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。
美國9月CPI同比上漲8.2%,預估為8.1%,前值為8.3%:10月13日消息,美國9月CPI同比上漲8.2%,預估為8.1%,前值為8.3%;美國9月CPI環比上漲0.4%,預估為0.2%,前值為0.1%。[2022/10/13 14:26:39]
4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
以太坊開發人員:提議將EIP-4758納入以太坊上海:金色財經報道,以太坊開發人員MariusVanDerWijden在其社交平臺表示,我想提議將EIP-4758納入以太坊上海。它改變了SELFDESTRUCT操作碼的語義,并將其變成一個SENDALL,將合同的余額發送給一個接收者。這個EIP是Verkle的先決條件(還有其他一些變化)。它非常容易實現,而且不難測試,所以我很想在上海看到它。
據悉,通過將SELFDESTRUCT改為SENDALL來停用,這樣做可以將所有資金收回到調用者手中,但不會刪除任何代碼或存儲。[2022/9/26 22:30:01]
5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。
6. 歸還“閃電貸”,完成整個攻擊后離場。
攻擊原理分析
在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。
一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
Tags:CAKEAUTOTOCUTOPancakePollautofarm幣后續Redux ProtocolAutobahn Network
熱點摘要: 1.特斯拉CEO馬斯克:支持利用核能發電開采比特幣;2.V神等發起EIP-3675提案以將共識升級為權益證明;3.Polygon和NFT市場UNXD宣布成立1000萬美元的基金;4.
1900/1/1 0:00:00社交代幣(Social Token),隨著創作者經濟(Creator Economy)的興起,在加密圈內引起了廣泛的關注.
1900/1/1 0:00:00DeFi數據 1.DeFi總市值:745.26億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:28.
1900/1/1 0:00:00以太坊被嚴重低估,有24個理由。 1. 智能合約 一旦滿足特定條件,智能合約會自動執行代碼。ETH 是最早出現的「可編程貨幣」形式,用戶可以依賴它來創造抗審查的去中心化「貨幣樂高」.
1900/1/1 0:00:00日前,經濟日報聚焦北京市海淀區加快建設北京國際科技創新中心核心區的實踐探索,刊發了長篇調研報道《中關村新傳》,引發熱烈反響.
1900/1/1 0:00:007月8日,加密資產市場再度下跌。在沒有實質性利空爆出的情況下,更多人將目光聚焦在借幣做空的神秘巨鯨上.
1900/1/1 0:00:00
比特幣交易所
