BSC生態又一起“閃電貸攻擊”再現 | ApeRocket Finance被黑事件簡析 -ODAILY_UTO

Author：

Time：1900/1/1 0:00:00

一、事件概覽

北京時間7月14日，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出，此次攻擊事件中，攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池，其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件，在ApeRocketFinance被黑事件中，攻擊者依然利用了“閃電貸”的攻擊原理，“換湯不換藥”，通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是，ApeRocketFinance是本月首起較為典型的安全攻擊事件，在此提醒各項目方做好日常安全審計和安全防護工作。

派盾：BSC部署Cream Financ遭受流動性危機:金色財經消息，據PeckShield數據檢測顯示，DeFi抵押借貸協議BSC部署Cream Financ遭受流動性危機，原因是被其信用用戶借入高達 107000 BNB限額而沒有抵押品。信用用戶是一個1-out-2多重簽名錢包，并于6月27日借了285000 BNB的債務。[2022/8/22 12:39:12]

二、事件分析

?攻擊過程分析

此前遭到黑客攻擊的BSC收益聚合器Merlin Lab停止運營:據官方消息，BSC收益聚合器Merlin Lab宣布停止運營。官方提醒用戶從網站上提取資金，并不要購買代幣。此前消息，PeckShield派盾預警顯示，Merlin Lab遭到黑客攻擊，此次攻擊源于MerlinStrategyAlpacaBNB中存在的邏輯漏洞，合約誤將收益者轉賬的WBNB作為挖礦收益，使得合約增發更多的$MERL作為獎勵。[2021/6/30 0:15:40]

1.攻擊者首先利用了“閃電貸”，借取了1259459+355600個cake。

數據：5月份以來，BSC生態項目已因“黑客”攻擊事件損失超1.57億美元:數據統計，BSC生態項目近日連續遭到閃電貸攻擊等“黑客”事件，總共損失已超1.57億美金，包括：5月28日，DEX項目JulSwap損失數額暫時不詳；5月28日，DEX項目 Burgerswap損失330萬美元；5月26日，機槍池項目merlinlab 損失680萬美元；5月24日，機槍池項目AutoShark 損失75萬美元；5月23日，指數項目DeFi100 損失3200萬美元；5月20日，機槍池項目PancakeBunny 損失4500萬美元；5月16日，機槍池項目BearnFi 損失1800萬美元；5月7日，機槍池項目Value DeFi 損失1100萬美元；5月5日，機槍池項目Value DeFi損失1000萬美元；5月2日，合成資產協議SPartan Protocol 損失3050萬美元。5月份以來，BSC生態項目損失資金超過1.57億美金。[2021/5/28 22:52:10]

2.隨后，將其中的509143個cake抵押至AutoCake。

BSC最大借貸平臺VENUS昨夜發生大額清算，疑似被惡意操縱:5月19日消息，BSC最大借貸平臺VENUS被曝出發生大額清算，操作手法極其惡劣。據社群反饋，有幾個大戶手中掌握了300多萬XVS（Venus平臺幣），他們在昨天晚上在很短的時間內花了幾千萬美元把XVS的價格從70多美元拉到144美元，然后在價格高位抵押XVS借貸了幾千個BTC和幾萬個ETH。隨后，XVS價格迅速崩落，XVS被清算，目前給Venus平臺造成了1億多美元的壞賬。[2021/5/19 22:17:36]