以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > Ethereum > Info

“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析_TOC:AUTO

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

Algorand生態錢包MyAlgo建議用戶提取錢包資金,此前曾發生黑客攻擊:2月28日消息,Algorand生態錢包MyAlgo發布提醒稱,強烈建議所有用戶從MyAlgo中存儲的助記詞錢包中提取任何資金。由于仍然不知道最近黑客攻擊的根本原因,MyAlgo鼓勵每個人采取預防措施來保護他們的資產。MyAlgo表示黑客攻擊發生在一個多星期以前,此后沒有發生其他行動。[2023/2/28 12:33:14]

二、事件分析

Otherdeed #96085被盜6分鐘內以2.2ETH售出:金色財經報道,據派盾監測,Otherdeed #96085被盜6分鐘內,在OpenSea平臺以2.2ETH售出。[2023/2/26 12:30:12]

攻擊過程分析

1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。

比特幣百萬富翁的數量在今年前三季度下降70%:金色財經報道,根據Finbold匯編的數據,由于熊市,比特幣百萬富翁的數量在2022年前三季度下降了70.23%,截至2022年9月28日,比特幣百萬富翁的總數低至29497人。根據BitInfoCharts.com提供的統計數據,25395個不同地址的比特幣余額超過100萬美元,在第三季度末,另有4102個地址的比特幣余額總和約為1000萬美元或以上。[2022/10/31 11:58:44]

華納兄弟將發行《指環王》系列NFT:金色財經報道,華納兄弟探索公司 (Warner Bros. Discovery) 成為首家出售 NFT 電影捆綁包的大型電影公司,《指環王:護戒使者》(the Lord of the Rings: the Fellowship of the Rings) 將于明天發行。

該系列由華納兄弟與 Web3 公司 Eluvio 合作開發,每個 NFT 都有彼得·杰克遜 2001 年的處女作《指環王》的 4K 拷貝,以及幕后鏡頭、大量劇照和受電影啟發的獨家資產。Eluvio 通過其與以太坊兼容的區塊鏈托管 NFT。[2022/10/20 16:32:40]

3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。

6. 歸還“閃電貸”,完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。

一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKEAUTOUTOTOCCakeCrypt CoinAutomataPLUTO幣Maverick Protocol

Ethereum
金色早報 | 以太坊官方網站發布第三季度產品路線圖_比特幣:區塊鏈

頭條 以太坊官方網站發布第三季度產品路線圖以太坊官方網站ethereum.org開發團隊發布第三季度產品路線圖,將在第三季度末為L2主網上的ETH2項目啟動公共產品新融資機制CLR.fund.

1900/1/1 0:00:00
DeFi周刊 | 電影配樂大師漢斯·季默或將涉足NFT領域_DEFI:NFTS

DeFi數據 1.DeFi總市值:762.34億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:23.

1900/1/1 0:00:00
海南省推動區塊鏈財政電子票據工作 已開具票據1919萬張涉及金額312億元_區塊鏈:區塊鏈運用的技術中不包括哪一項a共識算法

“網上申辦,鏈上開票”。7月20日,海南日報記者從海南省財政廳獲悉,海南省正積極探索把區塊鏈應用融入財政電子票據管理中,著力在全國率先打造區塊鏈財政電子票據應用管理平臺,該平臺從2021年1月上.

1900/1/1 0:00:00
解析谷歌趨勢數據 散戶的關注點在哪里_BSP:比特幣

谷歌搜索數據通常用于分析各種趨勢,衡量用戶對于某個主題的興趣,對于加密貨幣領域的興趣的數據也是非常值得深究.

1900/1/1 0:00:00
如何在 Optimism上體驗 Uniswap?_IMI:PTI

Optimism是否名副其實?自己看吧。下面是如何使用它。親愛的Bankless社區, Layer 2來了。 Layer 2 來了.

1900/1/1 0:00:00
下一個Axie?元宇宙游戲Town Star新手教程及避坑指南_DEF:defibox幣有價值嗎

最近,元宇宙農場經營模擬游戲Town Star火了,該游戲是Gala Game推出的,有點類似夢想小鎮,不過難度要大很多。目前,還在內測階段.

1900/1/1 0:00:00
ads