買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > UNI > Info

AUTO:“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析_Meblox Protocol

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

OPNX:轉換為OX的FLEX代幣數量已超過2500萬枚:金色財經報道,據Three Arrows Capital創始人Zhu Su等人創辦的加密索賠和交易平臺Open Exchange(OPNX)發推稱,其平臺上轉換為OX的FLEX代幣數量已超過2500萬枚,到目前為止,超過50%的持有人已經選擇轉換為3個月質押OX并從OPNX金庫中獲得收益,OX質押用戶首個RWA獎勵將于6月22日開始提供。[2023/6/20 21:49:14]

二、事件分析

數據:Lisk Foundation從Coinbase提出2440枚ETH:金色財經報道,據推特用戶余燼監測,5月30日18:20,Lisk Foundation從Coinbase提出2440枚ETH(約合466萬美元)。

5月11日,Lisk聯合創始人Max Kordek表示他們會用10周的時間將1000枚BTC(約合2800萬美元)賣出換成ETH,每周賣100BTC(約合280萬美元)。[2023/5/30 11:48:43]

攻擊過程分析

1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

DODO發布2023年路線圖,計劃推出收入分成、復制交易等功能:1月18日消息,去中心化交易平臺DODO近期發布2023年路線圖,并表示將繼續擴大全球范圍,完善永續合約功能。具體如下:

2023年Q1,DODO的交易小部件將支持收入分成功能;DODOV3升級的第一階段專注于做市商,允許他們從零售用戶那里借入流動性,執行多代幣做市,以及獲得更低的Gas費;DODO去中心化流動性聚合服務SmartTrade進行升級。

2023年Q2,DODOV3升級的第二階段將引入杠桿交易工具;DODO推薦系統升級,更利于用戶。

2023年Q3, DODOV3升級的第三階段推出去中心化共同基金工具,該工具允許基金經理根據客戶的行為進行投資。

2023年Q4,推出DODO首支指數基金以及復制交易功能。[2023/1/18 11:18:14]

工信部等五部門:將強化虛擬現實與區塊鏈、數字孿生等技術深度融合:11月1日消息,工業和信息化部、教育部、文化和旅游部、國家廣播電視總局、國家體育總局印發《虛擬現實與行業應用融合發展行動計劃(2022—2026年)》,發展目標包括,到2026年,產業生態持續完善。我國虛擬現實產業總體規模超過3500億元,虛擬現實終端銷量超過2500萬臺,培育100家具有較強創新能力和行業影響力的骨干企業,打造10個具有區域影響力、引領虛擬現實生態發展的集聚區,建成10個產業公共服務平臺。

計劃指出,圍繞近眼顯示、渲染處理、感知交互、網絡傳輸、內容生產、壓縮編碼、安全可信等關鍵細分領域,做優虛擬現實+內生能力,強化虛擬現實與5G、人工智能、大數據、云計算、區塊鏈、數字孿生等新一代信息技術的深度融合,疊加虛擬現實+賦能能力。[2022/11/1 12:04:59]

2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。

3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。

6. 歸還“閃電貸”,完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。

一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKEUTOTOCAUTOCakeCrypt CoinautoparkMeblox ProtocolAutoBitco Token

UNI
VIT:Vitalik關于無狀態、維克爾樹和狀態休眠的即興技術_VITA

01 bluepintail 提問:與進行中的升級 (1559、合并和分片) 相比,實現狀態休眠機制 (state expiry) 的復雜度怎么樣? Vitalik 回答: 好問題!我會說從以太.

1900/1/1 0:00:00
比特幣:晚間必讀5篇 | 誰能建立隱私計算的“分布式數據湖”?_DeFi Firefly

1.金色深核|誰能建立隱私計算的“分布式數據湖”?時下,是應該聊聊數據和隱私的時候了。2019年末,我曾把零知識證明、多方計算、可信執行環境等隱私計算技術的代表項目匯聚到一起做了一期極為深度的討.

1900/1/1 0:00:00
區塊鏈:金色觀察 | 美通脹持續爆表提升緊縮預期 比特幣裹足不前_BTC

停不下來。今年以來,美國通脹攀升的趨勢一直在延續。數據顯示,美國6月PPI(生產者物價指數)創下11年新高,核心CPI創下30年新高,消費者物價指數(CPI)在5月環比增長0.6%之后,6月又上.

1900/1/1 0:00:00
CRY:NFT的無限未來:全面解析2021年NFT賽道版圖_CryptoPirates

今年,NFT成為了很多頭條新聞報道的熱點。似乎每個媒體都在試圖回答諸如“為什么有人會花錢購買任何人都可以截取屏幕截圖的 jpeg?”之類的問題.

1900/1/1 0:00:00
PUN:NFT和Web3報告:版圖持續擴張 下半年值得期待_PUNK

如果今年年初有人對我說,NFT的銷售額將輕松突破10億美元,知名投資人GaryVee將推出NFT項目,Axie Infinity將成為五大NFT游戲之一,我會回答:“我只相信其中的一個.

1900/1/1 0:00:00
TET:金色觀察丨Tether“幾個月”后將發布新儲備金審計報告 但還能安撫人心嗎?_EtLyteT價格

金色財經? 區塊鏈7月22日訊? ?據 Tether 總法律顧問 Stuart Hoegner 透露,對 Tether 儲備的新審計結果可能會在幾個月后發布.

1900/1/1 0:00:00
ads