一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
網絡犯罪分子在暗網上出售加密賬戶,最低價30美元:金色財經報道,近日,網絡犯罪分子在暗網上出售被黑客入侵、經過驗證的加密賬戶,其中每個賬戶的價格最低至30美元。
4月24日,在線數據安全提供商Privacy Affairs發布研究報告《暗網價格指數》,稱網絡犯罪分子一直在暗網上出售各種通過欺詐手段獲得的金融賬戶信息。部分加密貨幣賬戶的平均價格如下:Kraken已驗證賬號1,170美元、Binance已驗證賬號410美元、Crypto.com已驗證賬號300美元、Coinbase已驗證賬號250美元、Bitrex美國已驗證賬號30美元。(Cointelegraph)[2023/5/2 14:38:22]
Bored Ape Yacht Club系列NFT24小時銷售額下降42.73%:金色財經報道,據NFTGo.io數據顯示,Bored Ape Yacht Club系列NFT24小時銷售額為2566.68ETH,交易量跌幅達42.73%。截至目前,該系列NFT地板價跌至52.4ETH,24小時交易數量49筆,跌幅達46.15%。[2023/4/24 14:22:31]
二、事件分析
攻擊過程分析
1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
去中心化交易所Trader Joe將推出升級版交易引擎:金色財經報道,去中心化加密貨幣交易所 (DEX) Trader Joe營銷負責人Blue周五表示,最快將于下周推出升級版交易引擎Liquidity Book V2.1,該版本將使存款人更有效地向Trader Joe的流動性池中添加代幣,并改善鏈上交易體驗。Trader Joe已在Arbitrum、BNB Chain和Avalanche上部署,升級還將引入“自動池”,自動管理存款人在流動性池中的活躍頭寸,以降低風險。[2023/4/1 13:38:35]
2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。
Bitpanda宣布成為Circle歐元穩定幣啟動合作伙伴:金色財經報道,據 Bitpanda Pro官方博客消息,該交易平臺宣布成為 Circle 及其最新歐元穩定幣 Euro Coin(EUROC)正式啟動合作伙伴,并在Bitpanda Pro 上線首個 EUROC/EUR 交易對。[2022/7/5 1:51:31]
3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。
4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。
6. 歸還“閃電貸”,完成整個攻擊后離場。
攻擊原理分析
在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。
一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
Tags:CAKEUTOAUTOTOCGCAKEPlutoPepeAutomated Income MachineElena Protocol
Traditional financial market has been an important but missing part of DeFi.
1900/1/1 0:00:00什么是當下最熱的風口? 這個答案或許屬于碳中和:?二氧化碳的排放量與二氧化碳的去除量相互抵消。在歐美多國2050年實現碳中和、中國2060年實現碳中和的承諾下,全球資本正齊聚一堂.
1900/1/1 0:00:00頭條 ▌Visa和萬事達卡:正在監控幣安相關的監管合規動向7月17日消息,支付巨頭Visa 和萬事達卡表示,他們正在監控幣安相關的監管合規動向.
1900/1/1 0:00:00隨著加密資產市場下行,鏈上 DeFi 鎖倉數據也在下降。根據 DeFiPules 數據顯示,7 月 22 日,DeFi 市場鎖倉資金額在 575 億美元,據頂峰時期的 1000 億美元,縮水近.
1900/1/1 0:00:007月26日外媒消息指出,亞馬遜內部一位匿名消息人士表示,亞馬遜計劃在2021年底之前接受比特幣支付.
1900/1/1 0:00:00從做號、養號再到轉手出售,圍繞著CoinList賬戶已經形成完整的灰色產業鏈。作為加密世界最具影響力的代幣公募平臺,CoinList今年在各大社區引發的「打新」潮儼然成為國內加密行業的現象級事件.
1900/1/1 0:00:00