以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析_SIGNA:SIGN價格

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

某鯨魚向Binance存入1400枚MKR:金色財經報道,據The Data Nerd監測,2小時前,鯨魚0x828向Binance存入1400枚MKR(156萬美元)并在DEX上出售200枚MKR(22.4萬美元)。他從7月初開始積累,賺取了32萬美元的利潤。此外,自7月22日以來,他還總共購買了2萬枚ETH并且仍然持有。[2023/7/26 15:59:34]

二、事件分析

攻擊過程分析

加密稅務創企Divly完成40萬美元融資,DHS Venture Partners等參投:3月7日消息,加密稅務服務初創公司Divly宣布已完成40萬美元融資,DHS Venture Partners、Greens Ventures和YEoS Ventures參投。

Divly提供便捷的加密貨幣市場納稅申報服務,目前已與芬蘭最大的虛擬貨幣服務提供商Coinmotion和瑞典最大的加密貨幣經紀商Safello建立了合作關系,去年還和BYDFi和Coingecko達成合作。(PR Newswire)[2023/3/7 12:47:04]

1.?攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

韓國金委員會發布STO發行和流通紀律系統改革方案:2月6日消息,韓國金融服務委員會(FSC)發布《證券型代幣(STO)發行和流通紀律系統改革方案》,計劃在資本市場法范圍內允許STO以證券形式正常發行和流通。同時為防止可能的違法事件并保護投資者,提供數字資產是否為證券的判斷原則和適用判例。[2023/2/6 11:49:14]

2.?隨后,將其中的509143個cake抵押至AutoCake。

Signal總裁:Signal為獨立組織,而MobileCoin為試驗性集成項目:12月4日消息,Signal總裁MeredithWhittaker在《時代》雜志對其專訪中表示:Signal不是MobileCoin,Signal是一個獨立組織。MobileCoin只是一個非常、非常具實驗性的(集成至Signal的)項目。Signal的核心重點是隱私消息傳遞,我認為匿名支付是一項必要服務,但現在加密市場是一場『shitshow』,因此Signal會繼續觀察。

另外,Meredith還表示:加密貨幣是一種風險極高的證券交易工具,大部分資金都經過中心化交易平臺,而許多交易平臺并沒有資本化。現在加密市場中許多被認為是技術創新的東西更類似于證券欺詐。

此前消息,11月27日,有市場傳言稱,推特2.0或將集成Signal協議推出加密隱私功能,在推特的IOS應用中能看到Signal協議的代碼采用。或受此影響,與Signal應用合作的移動隱私支付項目MobileCoin原生TokenMOB價格出現大幅上漲。[2022/12/4 21:22:05]

3.?攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4.?然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5.?完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.?歸還“閃電貸”,完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。

一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKESIGIGNSIGNABPCAKE價格Insights NetworkSIGN價格Signata

以太坊交易所
以太坊版「我的世界」丨深度解讀元宇宙 Decentraland_CEN:LAND

你眼中的真實是什么? 柏拉圖在兩千年之前的「洞穴之喻」里就給了我們非常精彩的解釋。被束縛手腳的囚徒們從小只能看見物體通過火炬投影在壁穴里的影子,故而認為影子是現實生活中唯一真實的事物.

1900/1/1 0:00:00
與狗狗幣有關的三個男人:一個此生退圈 一個重新入圈 一個要上天_加密貨幣:ARK

尼可羅·馬基亞維利曾說,戰爭在你愿意時開始,卻并不在你樂時結束。狗狗幣的創始人決定了游戲的開始,卻無法左右它的發展和結局。而那個說要將狗狗幣帶上天的男人,在線喊話就能拉爆行情。他,確實要上天.

1900/1/1 0:00:00
NA(Nirvana)Chain 6月項目簡報_Chain:CHA

尊敬的用戶: 大家好!感謝大家一直以來對NAChain的支持與信任,關于NAChain6月的詳細進展匯報如下,請大家審閱.

1900/1/1 0:00:00
福布斯解讀區塊鏈行業如何改變全球人才供給格局_福布斯:區塊鏈

編者注:本文作者為TracyLevine,ForbesCoaches委員會成員、TracyLevineForbes委員會成員.

1900/1/1 0:00:00
EIP-1559是以太坊Gas的救星嗎?_BASE:以太坊

EIP-1559前以太坊gas費是怎么算的?在以太坊中,交易所需的gas費計算方式是:TransactionFee=GasPrice×GasLimit其中GasLimit代表你愿意為這筆交易支付.

1900/1/1 0:00:00
DeFi將帶來web3.0的全面普及?_DEFI:WEB

對透明度和開源解決方案的需求增加,將會帶來Web3.0的全面普及。自2020年初以來,開放式金融已經成為了網絡上的一個焦點,而我們正處于世界性改變的邊緣.

1900/1/1 0:00:00
ads