“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析_UTO

一、事件概覽

北京時間7月14日，鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示，BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出，此次攻擊事件中，攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池，其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件，在ApeRocketFinance被黑事件中，攻擊者依然利用了“閃電貸”的攻擊原理，“換湯不換藥”，通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是，ApeRocketFinance是本月首起較為典型的安全攻擊事件，在此提醒各項目方做好日常安全審計和安全防護工作。

報告：Worldcoin每年可能產生450萬美元的以太坊Gas費:金色財經報道，Worldcoin在以太坊上的數字識別項目每年可能消耗450萬美元的Gas費，從而推動企業對以太坊的需求。

Worldcoin項目在短短40天內就花費了50萬美元的Gas費用于視網膜掃描的零知識證明。Worldcoin Orbs使用加密協議zk-proofs將用戶的World ID添加到經過驗證的人員的公共列表中。[2023/8/10 16:18:03]

美國財政部正在研究如何使用數字美元來保護隱私:金色財經報道，負責金融機構的助理部長Graham Steele表示，美國財政部一直在研究如何使潛在的數字美元的零售交易盡可能保持私密和匿名，盡管他說美國還沒有決定是否推進中央銀行數字貨幣（CBDC）的發展。

然而，Steele也指出了零售業CBDC可能存在的風險，特別是運行的危險。最近的美國銀行業動蕩表明，\"使存款流動的技術只會越來越快，\"這增加了高速、恐慌性的資金流動的危險。斯蒂爾說，一個由財政部領導的小組正在研究建立美國中央銀行數據中心的可能性，\"該小組正在評估與全球金融領導地位、國家安全、隱私、非法金融和金融包容性有關的政策目標。[2023/6/14 21:34:44]

二、事件分析

dYdX通過“申請660萬美元資金啟動dYdX運營subDAO V2”的提案投票:6月5日消息，去中心化永續合約協議dYdX社區投票通過“啟動dYdX運營子DAO V2”提案，支持率為99.95%。該提案是受托人Joanna與Callen代表的dYdX運營信托基金（DOT）請求從dYdX社區財庫中撥款660萬美元轉入DOT多簽錢包，為運營子DAO的運營再提供18個月的資金（DOT 2.0）。

DOT目前剩余87,077.50枚USDC，6月19日DOT 1.0到期后，剩余資金將轉入DOT 2.0。DOT 2.0將負責招聘一名運營主管、技術項目負責人與站點可靠性工程師，確定一個索引器運營商，為協議的潛在未來版本部署開源軟件和運行iOS、安卓和Web前端版本，聘請第三方審計師來評估DOT財務與業績，增加DOT多簽受托人數，DOT 2.0任務結束時的剩余資金將由dYdX社區決定發送到社區控制的錢包。

此外，Reverie Reserves,LLC和George Beall已決定，將于6月19日DOT 1.0任期屆滿后，不再擔任受托人與執行者。DOT任命三位新受托人與一位執行者。[2023/6/5 21:16:43]

攻擊過程分析

納指、標普500跌幅擴大至1%:行情顯示，納斯達克指數跌1%，道指現跌0.49%，標普500指數跌幅擴大至1%。[2022/6/10 4:15:03]

1.?攻擊者首先利用了“閃電貸”，借取了1259459+355600個cake。

2.?隨后，將其中的509143個cake抵押至AutoCake。

3.?攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4.?然后攻擊者再調用AutoCake中的harvest觸發復投，將步驟3中打入Autocake的cake進行投資。

5.?完成上述攻擊步驟后，攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利，隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.?歸還“閃電貸”，完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中，攻擊者首先在AutoCake中抵押了大量Cake，這使得其持股占比非常之高，從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中，攻擊者直接向AutoCake合約中打入大量cake，這部分cake因并沒有通過抵押的方式打入AutoCake合約；根據合約自身邏輯，將會被當作“獎勵”。

一來一回，直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面，在進行getReward操作時，函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶，做為另外的獎勵。在正常情況下，質押獎勵較少，因此鑄幣的SPACEToken也會很少；但由于攻擊者上述的操作，便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出，這是一次典型的利用“閃電貸”而完成獲利的攻擊事件，其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”，最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時，這也是本月首起典型的“閃電貸”攻擊事件，值得引起注意。

成都鏈安·安全團隊建議，隨著“閃電貸”在DeFi生態越來越受青睞，潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此，DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅，與第三方安全公司積極聯動，構建起一套完善而專業的安全防護機制。

Tags：CAKEDOTAUTOUTOINCAKE幣dotc幣在哪個平臺能買AUTO價格Autobahn Network

火必下載