買以太坊 買以太坊
Ctrl+D 買以太坊
ads

FINA:BSC生態又一起“閃電貸攻擊”再現 | ApeRocket Finance被黑事件簡析 -ODAILY_NAN

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

Initial D賽車NFT將于1月7日上線BSC鏈NFT市場:據官方消息,Initial D賽車NFT卡牌將于1月7日19:00(JST)上線BSC鏈NFT市場,開啟限時限量售賣。

Initial D以經典動漫電影為原型,與日本世嘉株式會社達成合作,擁有眾多家喻戶曉IP,賽車手藤原拓海,秋名山賽道,GC8、TR-7、GTR,AE86四種名車,并獲得3D頭像NFT元宇宙授權。[2022/1/7 8:32:09]

BSC鏈上Impossible Finance攻擊者將部分所得歸還給Impossible Finance和Eleven Finance:PeckShield“派盾”監控顯示,Impossible Finance攻擊者將35.7萬美元BNB歸還給Impossible Finance,自留14萬美元作為漏洞獎勵。同時,將攻擊Eleven Finance的25.9萬美元歸還給Eleven Finance,自留25.1萬美元作為漏洞獎勵。

據悉,6月21日,攻擊者對Impossible Finance進行閃電貸攻擊,獲利49.7萬美元;6月23日,攻擊者對Eleven Finance進行閃電貸攻擊,獲利51萬美元。[2021/6/25 0:06:19]

二、事件分析

HyperGraph已在幣安智能鏈(BSC)上開啟挖礦:據官方消息,HyperGraph 于太平洋標準時間5月11日下午7點在幣安智能鏈(BSC)上開啟挖礦,開通了 HGT-BUSD、HGT-USDT、HGT-BNB LP池和MDX、DODO、CAKE 單池質押以獲得HGT,3 小時 TVL 超過 1200 萬 USDT。[2021/5/12 21:52:41]

?攻擊過程分析

1.攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

MDEX上線幣安智能鏈BSC2小時,TVL超15億美金:據MDEX.COM官方數據顯示,MDEX上線幣安智能鏈BSC2小時,TVL已超15億美金,交易額超2.7億美金。[2021/4/8 19:59:44]

2.隨后,將其中的509143個cake抵押至AutoCake。

3.攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4.然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5.完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.歸還“閃電貸”,完成整個攻擊后離場。

?攻擊原理分析

l在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

l在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。

l一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

l但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKENANANCFINACCAKEValue Financefanc幣的價格pSTAKE Finance

比特幣價格實時行情
YDR:HydraDX:構建屬于DeFi流動性池的汪洋大海-ODAILY_HYD價格

盡管DeFi市場從2020年開始就一直在顯著增長,然而現階段的DeFi還是很難在各個方面滿足所有用戶的需求.

1900/1/1 0:00:00
CIR:一文讀懂區塊鏈技術如何改變非洲貿易(上)-ODAILY_全球十大加密貨幣

鏈集市·讓區塊鏈落地更簡單《區塊鏈行業觀察》專欄·第34篇作者丨RafiaRaji 圖片丨來源于網絡 區塊鏈最簡單的形式是一種去中心化的數據庫架構.

1900/1/1 0:00:00
NFT:牛市下半場,如何布局NFT和DeFi領域|疑問解答-ODAILY_PEN

下面是近期大家留言的一些解答,分析只是我個人的理解,不作為直接投資建議!大家有疑問可以留言,或者私發我微信上,因為精力有限,就不一對一回復,我集中整理后,下次文章里統一分析解答.

1900/1/1 0:00:00
MIX:7月要聞|DeHero正式上線,榮登BSC排行榜第二-ODAILY_比特幣

上月回顧 上月,NFT創作社區LeCube正式上線,上線3小時質押量破1400萬MIX;上線7小時質押量破400ETH.

1900/1/1 0:00:00
加密貨幣:從河南暴雨、疫情反彈看區塊鏈“災疫”治理-ODAILY_區塊鏈技術通俗講解ppt

災疫頻發,區塊鏈可以解決哪些問題?最近,河南遭到暴雨侵襲,強降雨一度讓鄭州等城市的運轉陷入停滯.

1900/1/1 0:00:00
區塊鏈:亞馬遜準備接受比特幣支付?扎克伯格傾心元宇宙-ODAILY_什么叫做區塊鏈技術

當行情上漲之后,市面上就全部都是好消息,這一點在加密市場尤為明顯。根據報道,此前亞馬遜內部一位匿名消息認識告訴倫敦商業報紙,計劃在2021年底錢接受比特幣支付,據悉,這不僅是為了某個未來的時間點.

1900/1/1 0:00:00
ads