“闪电贷攻击”再现 ApeRocket Finance被黑事件简析

一、事件概览

北京时间7月14日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocket Finance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。

成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocket Finance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocket Finance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。

二、事件分析

攻击过程分析

1. 攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。

比特矿业BIT Mining定向增发5000万美元 用于采购矿机、建设新的海外数据中心:美股上市公司比特矿业BIT Mining(原500.com)宣布已与美国的某些机构投资者签订证券购买协议,将以定向增发的方式出售价值5000万美元的A类普通股和价值6810万美元的认股权证。公司计划将此次发行所得用于采购矿机、建设新的海外数据中心、增强技术基础设施和企业营运资本。(区块链日报)[2021/7/13 0:48:26]

2. 随后,将其中的509143个cake抵押至AutoCake(相当于是Aperocket的策略合约)。

3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。

4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。

5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。

6. 归还“闪电贷”,完成整个攻击后离场。

攻击原理分析

在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。

在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。

一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。

但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。

三、事件复盘

不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。

成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

USDC比特币:开启自由货币试验

本文最早发表于香港大公报经济观察家清和专栏,原标题《比特币会埋葬法币吗?》,作者:清和 智本社社长。 2008年12月,一个代号为“中本聪”的人发布了《比特币白皮书——一个点对点的电子现金系统》。这标志着比特币的诞生,但是在当时鲜有人意识到它的存在。 然而,此后十余年,比特币在金融市场上掀起了一场场“腥风血雨”。

ICP金色早报 | FBI对比特币等加密货币发出了严重警告

头条 ▌FBI对比特币等加密货币发出了严重警告 金色财经报道,美国联邦调查局 (FBI) 已经对比特币等加密货币发出了严重警告,并告诉个人不要参与其中,联邦调查局 (FBI) 表示,除非他们完全意识到风险。网络犯罪分子以虚拟资产行业的加密货币用户、交易所和第三方支付平台为目标,给受害者造成大量经济损失。

比特币交易所金色观察 | Circle上市 谁将从中获益?

稳定币USDC发行商Circle将以45亿美元估值透过Concord Acquisition Corp的SPAC上市(代号 CND 上市后改为CRCL)了。 在宣布将通过与SPAC合并上市后,Circle CEO Jeremy Allaire承诺要让该公司成为全储备稳定币的最公开、最透明的运营商。

比特币最新价格金色观察 | BTC挖矿难度仍将下调 但分析师表示本轮牛市尚未触顶

7月14日,合肥在线发布文章《我省全面清理关停虚拟货币挖矿项目》指出,未来三年,全省电力供需形势严峻,安徽将全面清理关停虚拟货币挖矿项目。此前,新疆、内蒙古、青海、云南、四川也先后出台相关政策,推进加密挖矿项目清退工作。随着政策的出台,比特币哈希率接连下跌。 不过,最新数据显示,比特币平均算力为96.6EH/s,略高于此前的90.5EH/s。

[0:0ms0-0:484ms