宇宙链 宇宙链
Ctrl+D收藏宇宙链

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析

作者:

时间:1900/1/1 0:00:00

一、事件概览

北京时间7月14日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocket Finance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。

成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocket Finance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocket Finance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。

美联储利率掉期完全排除5月加息25个基点的可能:金色财经报道,美联储利率掉期完全排除5月加息25个基点的可能。[2023/3/24 13:24:54]

二、事件分析

攻击过程分析

1. 攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。

Reddit Collectible Avatar销售总量突破4万笔:金色财经报道,据Dune Analytics最新数据显示,Reddit于Polygon网络发行的NFT系列Reddit Collectible Avatar销售总量已突破4万笔,本文撰写时达到40,014笔,交易总额11,546,961美元。此外,当前Reddit Avatar NFT持有地址总量为3,673,148个,单一NFT持有地址为3,437,111个,Reddit Collectible Avatar总量为4,359,020个。[2022/12/4 21:22:13]

2. 随后,将其中的509143个cake抵押至AutoCake(相当于是Aperocket的策略合约)。

Cronos Labs推出NFT市场Minted并与Crypto.com达成合作:金色财经报道,由Cronos Labs推出的NFT市场Minted于周四推出,并表示已与交易所巨头Crypto.com建立合作关系。作为其合作伙伴关系的一部分,Minted将促进最初在Crypto.com上出售的基于Cronos的NFT的所有二级交易。该市场允许用户以平台的原生代币$MTD的形式列出他们基于以太坊的NFT以获得奖励。然后可以将$MTD质押一段时间以赚取收益。(theblock)[2022/8/12 12:19:39]

消息人士:花旗集团执行了一笔错误的交易,导致欧洲股市周一开盘闪崩:5月3日消息,消息人士称,花旗集团执行了一笔错误的交易,导致欧洲股市周一开盘闪崩,该交易涉及纳斯达克指数对瑞典公司的计算错误。(财联社)[2022/5/3 2:46:09]

3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。

4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。

5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。

6. 归还“闪电贷”,完成整个攻击后离场。

攻击原理分析

在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。

在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。

一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。

但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。

三、事件复盘

不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。

成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。

标签:CAKETOCAUTOUTOPancakeToolsDucato Protocol TokenAutobahn NetworkHoryouToken

比特币最新价格热门资讯
科普 | 跨链简史:从资产桥到互操作

跨链技术被认为是区块链领域发展的圣杯,是实现万链互通的关键技术。现在的跨链技术形态,有些是在实现资产互通,有些是提出了一套通信协议,实现区块链间的通信,还有些是提出了新的系统架构和运行模式,支持更多区块链的接入.

1900/1/1 0:00:00
DeFi衍生品还有多大潜力?预估日交易量仅5.8亿美元 不足中心化平台百分之一

2020年加密货币市场有两大值得关注的趋势,其一是年初中心化交易所的衍生品交易迎来爆发,全年比特币期货合约的持仓量从约27亿美元上涨至约94亿美元,涨幅达到248.15%.

1900/1/1 0:00:00
各国监管轮番上阵 加剧比特币颓势

7月20日,比特币跌破3万美元,市场再次见到了「2字头」的BTC,行至今年年初时的水平,不同的是,年初的「2字头」是上涨起点,如今正处下跌周期。半年后回看,比特币在6个月内形成了从上涨、登顶到下跌的三角形态.

1900/1/1 0:00:00
DEF回应抛售50万枚UNI事件:资金运作方面拥有酌情处理权 将在90天内公布年度预算

律动 BlockBeats 消息,7 月 15 日,DeFi Education Fund(DeFi 教育基金,简称 DEF)今日发文回应市场对于其抛售所持有 50 万枚 UNI 代币一事的质疑.

1900/1/1 0:00:00
DeFi将带来web3.0的全面普及?

对透明度和开源解决方案的需求增加,将会带来Web 3.0的全面普及。自2020年初以来,开放式金融(DeFi)已经成为了网络上的一个焦点,而我们正处于世界性改变的边缘.

1900/1/1 0:00:00
比特币ETF科普一:运行机制及其重要意义

随着今年第一季度加拿大数字货币ETF市场频频传出好消息,万众期待的比特币ETF作为加密市场的合规投资工具再次掀起讨论热潮.

1900/1/1 0:00:00