一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
3萬枚ETH從未知錢包轉至Gate.io:金色財經報道,Whale Alert數據顯示,30,000枚ETH(約合56,003,264美元)從未知錢包地址轉至Gate.io。[2023/7/10 10:12:18]
二、事件分析
攻擊過程分析
1.?攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
OKX Web3 錢包已開放 Bitcoin 多鏈 API:5月30日消息,OKX Web3 錢包已開放 Bitcoin 多鏈 API,為更多 BTC DApp 提供便捷、開放的 Web3 錢包支持。目前,OKX Web3 錢包已在 APP、網頁端同步上線 Ordinals 市場。
OKX Web3 錢包已開放包含連接錢包、拆分 UTXO 初始化錢包、銘刻可轉移的 BRC20、PSBT 簽名&廣播,以及插件端 API 等眾多 API 接口。此前 OKX 已建立 BRC20 行業雙重驗證、解析標準。上線首個 BRC20 的 BTC 瀏覽器等。[2023/5/30 11:48:45]
2.?隨后,將其中的509143個cake抵押至AutoCake。
數據:過去一周Blur競標池鎖倉量縮水超五分之一:金色財經報道,Defillama數據顯示,Blur競標池鎖倉量自3月2月觸及1.4718億美元高點后,過去一周不斷下降,截至目前已縮水至1.1549億美元,跌幅達到21.5%。[2023/3/10 12:54:19]
3.?攻擊者將剩余的1105916個cake直接打入AutoCake合約。
超568萬枚DYDX將于今日23時開始解鎖,占總供應量0.568%:金色財經報道,據Token Unlocks數據顯示,5,681,818.43枚DYDX(約合829.5萬美元)將于北京時間17日23時開始解鎖,此次解鎖量占總供應量0.568%,其中大部分為交易獎勵代幣。[2023/1/17 11:16:03]
4.?然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5.?完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。
6.?歸還“閃電貸”,完成整個攻擊后離場。
攻擊原理分析
在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。
一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
Tags:CAKETOCUTOAUTOPlumCake FinanceTag Protocoluto幣怎么兌換成人民幣Automata
隨著NFT產業的發展,其與游戲行業的結合也引發關注。對于NFT行業的興起與發展,各方給予厚望。那么,到哪些省市發展NFT更有優勢,帶著這個問題,我們查找了國內現有產業政策和促進意見,發現對于NF.
1900/1/1 0:00:00最近幾個月,公眾對“數字美元”的興趣達到了高潮,許多專家建議美聯儲應該盡快發行CBDC,但是聯邦儲備系統理事會監督副主席RandalKQuarles先生提出了不同意見,2021年6月28日.
1900/1/1 0:00:00在加密貨幣圈久了,能聽到層出不窮的新概念和以新概念出現的新技術。有時候這些技術被奉為圭臬,有時候這些技術短時爆紅后銷聲匿跡。炒火某個技術和概念,是資本的需求.
1900/1/1 0:00:00總部位于邁阿密的加密貨幣風投公司Nifty’s推出了據稱是第一個針對NFT的社交媒體平臺。Niftys.com首個合作伙伴是華納兄弟,將推出一系列即將上映的真人動畫電影《空中大灌籃:新傳奇》角色.
1900/1/1 0:00:00國內影視行業發展至今,一直沒能解決,常年有爭議產生的環節,是編劇的權益問題。從以前原創劇本到現在IP改編盛行,編劇、原作者和影視制作方常常產生話語權或是版權問題糾紛,只要稍稍深入行業,就能聽到行.
1900/1/1 0:00:00注:《HowtoDeFi:Advanced》是CoinGecko今年7月出版的DeFi經典讀物《HowtoDeFi》的進階版.
1900/1/1 0:00:00