比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Uniswap > Info

BSC生態又一起“閃電貸攻擊”再現 | ApeRocket Finance被黑事件簡析 -ODAILY_UTO

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

派盾:BSC部署Cream Financ遭受流動性危機:金色財經消息,據PeckShield數據檢測顯示,DeFi抵押借貸協議BSC部署Cream Financ遭受流動性危機,原因是被其信用用戶借入高達 107000 BNB限額而沒有抵押品。信用用戶是一個1-out-2多重簽名錢包,并于6月27日借了285000 BNB的債務。[2022/8/22 12:39:12]

二、事件分析

?攻擊過程分析

此前遭到黑客攻擊的BSC收益聚合器Merlin Lab停止運營:據官方消息,BSC收益聚合器Merlin Lab宣布停止運營。官方提醒用戶從網站上提取資金,并不要購買代幣。此前消息,PeckShield派盾預警顯示,Merlin Lab遭到黑客攻擊,此次攻擊源于MerlinStrategyAlpacaBNB中存在的邏輯漏洞,合約誤將收益者轉賬的WBNB作為挖礦收益,使得合約增發更多的$MERL作為獎勵。[2021/6/30 0:15:40]

1.攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

數據:5月份以來,BSC生態項目已因“黑客”攻擊事件損失超1.57億美元:數據統計,BSC生態項目近日連續遭到閃電貸攻擊等“黑客”事件,總共損失已超1.57億美金,包括:5月28日,DEX項目JulSwap損失數額暫時不詳;5月28日,DEX項目 Burgerswap損失330萬美元;5月26日,機槍池項目merlinlab 損失680萬美元;5月24日,機槍池項目AutoShark 損失75萬美元;5月23日,指數項目DeFi100 損失3200萬美元;5月20日,機槍池項目PancakeBunny 損失4500萬美元;5月16日,機槍池項目BearnFi 損失1800萬美元;5月7日,機槍池項目Value DeFi 損失1100萬美元;5月5日,機槍池項目Value DeFi損失1000萬美元;5月2日,合成資產協議SPartan Protocol 損失3050萬美元。5月份以來,BSC生態項目損失資金超過1.57億美金。[2021/5/28 22:52:10]

2.隨后,將其中的509143個cake抵押至AutoCake。

BSC最大借貸平臺VENUS昨夜發生大額清算,疑似被惡意操縱:5月19日消息,BSC最大借貸平臺VENUS被曝出發生大額清算,操作手法極其惡劣。據社群反饋,有幾個大戶手中掌握了300多萬XVS(Venus平臺幣),他們在昨天晚上在很短的時間內花了幾千萬美元把XVS的價格從70多美元拉到144美元,然后在價格高位抵押XVS借貸了幾千個BTC和幾萬個ETH。隨后,XVS價格迅速崩落,XVS被清算,目前給Venus平臺造成了1億多美元的壞賬。[2021/5/19 22:17:36]

3.攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4.然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5.完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.歸還“閃電貸”,完成整個攻擊后離場。

?攻擊原理分析

l在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

l在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。

l一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

l但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKETOCUTOAUTOBPCAKERatio ProtocolAutonomyAutomata

Uniswap
元宇宙持續火熱,波卡也在做好準備丨波卡一周生態觀察-ODAILY_元宇宙

Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.

1900/1/1 0:00:00
「區塊鏈」賦能智慧社區,多維度提升管理質效-ODAILY_Maker

社區對于國家和百姓生活的重要性毋庸置疑,它不僅是城市居民共同生活的家園,更是整個“國家大廈”的根基.

1900/1/1 0:00:00
NFT 使元宇宙成為可能?-ODAILY_Optimism

30年前,科幻小說家尼爾·史蒂芬森在自己的小說《雪崩》中首次提出了“元宇宙”概念,在他的最初設想中“通過數字替身,人們可以在一個虛擬三維空間中生活,在這個虛擬世界里.

1900/1/1 0:00:00
解析央行數字貨幣(CBDC)問世會影響比特幣市值嗎-ODAILY_加密貨幣

前言: 本文翻譯整理來源于韓國新聞網Hankyungeconomy,Decenter,討論了對于央行數字貨幣問世后,比特幣市值是否會下降的問題,各方的不同觀點.

1900/1/1 0:00:00
2021 Q2 加密投資季報(5)—— ArkStream Capital-ODAILY_ANT

加密貨幣基金ArkStreamCapital在2021年第二季度共投資了近二十個項目,我們將以項目簡介、賽道分析出發,來闡述為什么投資這些項目的緣由.

1900/1/1 0:00:00
Dydx日交易量超越Uniswap,DeFi衍生品爆發要來了嗎?-ODAILY_DEFI

DeFi從交易、借貸等領域一路爆發,革新傳統金融的形式漸漸出圈,成為區塊鏈上最主要的應用,但一直被看好的DeFi衍生品市場卻一直沒有獨占鰲頭的時刻,關注度極高,市場反應卻一直不見起勢.

1900/1/1 0:00:00
ads