比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析_UTO

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

美SEC主席:SEC會牽頭定義什么是證券,加密貨幣不需要額外的立法:金色財經報道,美國證券交易委員會主席Gary Gensler在接受記者采訪時表示,加密貨幣不需要額外的立法,但如果國會采取立法行動,立法者不要破壞現有法律很重要。 Gary Gensler還表示,證券交易委員會牽頭定義什么是證券,不一定是立法。

Gary Gensler稱,只有一個機構,也即由眾議院金融服務委員會和參議院銀行委員會兩個委員會監督的SEC,以及法院可以來定義什么是證券,而不是由各個加密交易所來選擇。此外他拒絕回答 SEC 是否計劃對幣安提起訴訟,同時指出該機構已對其他交易所采取行動。(TheBlock)[2023/3/30 13:34:05]

灰度比特幣信托負溢價率收窄至36.83%:金色財經報道,Coinglass數據顯示,當前灰度總持倉量達228.84億美元,主流幣種信托溢價率如下:BTC,-36.83%%;ETH,--52.63%;ETC,-62%;LTC,-43.55%;BCH,-25.86%。[2023/3/24 13:23:06]

二、事件分析

攻擊過程分析

1.?攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

安全團隊:Shonen Junk項目Discord服務器已被入侵:金色財經消息,安全團隊CertiK表示,Shonen Junk項目Discord服務器已被入侵。目前聊天已被鎖定。請社區用戶不要點擊、鑄造或批準任何交易。[2022/9/27 22:33:03]

2.?隨后,將其中的509143個cake抵押至AutoCake。

3.?攻擊者將剩余的1105916個cake直接打入AutoCake合約。

盈透證券董事長Peterffy:標普500指數可能再跌16%才會見底:9月8日消息,盈透證券董事長Peterffy Peterffy稱,美國股市的跌幅還不足以反映居高不下的通脹壓力,通脹壓力將促使美聯儲在一段時間內維持高利率。他周三向彭博電視表示,標普500指數跌到3300點至3500點之間才會見底。這意味著,與周三的水平相比,最大跌幅可達16%。見底之后,將會在底部徘徊“一段時間”。“我看空已經有一段時間了,我認為股市尚未見底,因為我認為通脹還沒結束,”他表示,“我們面臨著去全球化、ESG、缺少熟練勞動力、持續的赤字支出和償債成本上升等深層次問題。所以他們共同促成了通脹。”[2022/9/8 13:15:18]

4.?然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5.?完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.?歸還“閃電貸”,完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。

一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKEUTOAUTOTOCPancakePollUtopian ProtocolAutomataKyoto Protocol

火幣交易所
Sygnum成為世界上第一家提供Eth2質押服務的銀行_ETH

專注于加密貨幣的瑞士銀行Sygnum宣布,其已成為世界上第一家允許其客戶質押以太坊的銀行。據7月6日的博客文章稱,該公司的客戶現在可以通過Sygnum的機構銀行平臺質押ETH,獲得高達7%的年收.

1900/1/1 0:00:00
老年人如何使用數字人民幣 “石景山經驗”教您嘗鮮_KVA

隨著試點不斷深入,數字人民幣逐漸走進市民生活的方方面面。7月14日,北京商報記者走訪了石景山區數字人民幣試點商戶,在壹公里果蔬店,記者發現,已有不少市民熟絡數字人民幣支付,甚至有不少老年人也開始.

1900/1/1 0:00:00
ETH 2.0如何解決區塊鏈不可能三角問題_ETH

ETH2.0面臨的最大挑戰是克服區塊鏈不可能三角問題,即任何單個項目都難以同時實現、去中心化、可擴展性和安全性.

1900/1/1 0:00:00
金色觀察|《中國數字人民幣的研發進展》白皮書摘要_CBD

金色財經訊,7月16日,中國人民銀行發布了《中國數字人民幣的研發進展》白皮書,該白皮書詳細闡述了數字人民幣的研發背景、定義、設計原則、進展。以下為《中國數字人民幣的研發進展》白皮書重點摘要.

1900/1/1 0:00:00
國際清算銀行:央行數字貨幣跨境使用尚存在一定風險_穩定幣

國際清算銀行發布的關于央行數字貨幣的最新研究報告顯示,大多數央行尚未對發行CBDC做出最終決定。超過25%的央行正在考慮可供非本國居民使用的零售型CBDC,而接近20%則對此持否定的態度.

1900/1/1 0:00:00
灰度GBTC解鎖會沖擊市場嗎?_ARK

(圖片來源于網絡) 最近DeFi和NFT板塊忽然熱了起來,頗有點先聲奪人的意味。遙想當年,2020年三季度,亦是DeFi領銜,熱了一波之后,至10月BTC開啟牛市征程.

1900/1/1 0:00:00
ads