加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析_CAKE:DeFi Yield Protocol

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

Sino Global向FTX-Alameda提出6700萬美元索賠:金色財經報道,Matthew Graham的Sino Global Capital代表Sino的Liquid Value基金向FTX Trading Ltd.提出了6730萬美元的索賠,該基金于2021年與Sam Bankman-Fried聯合推出。該基金的目標是籌集2億美元資金,主要針對高凈值人士。

在宣傳該基金的營銷材料中,FTX在幻燈片中被描述為“聯合普通合伙人和錨定有限合伙人”,有可能通過接觸Bankman-Fried的代幣世界來釋放“重大戰略價值”。截至2022年1月,該基金已經籌集了9000萬美元,FTX是錨定投資者。

最初,Sino Global表示,其“對FTX交易所的直接敞口被控制在七位數左右”。[2023/8/7 21:30:11]

羅馬尼亞國家信息學研究與發展研究所推出NFT交易平臺:金色財經報道,羅馬尼亞國家信息學研究與發展研究所 (ICI Bucharest) 宣布推出內部 NFT 交易平臺來推動 Web3 在該國的采用。名為 ICI D|Services 的機構 NFT 平臺將于 4 月 26 日上線,主要建立私營和公共部門機構與用戶之間的聯系,該平臺將允許公共和機構用戶鑄造、管理和交易 NFT。[2023/4/24 14:23:59]

二、事件分析

攻擊過程分析

1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

英國財政大臣暗示將進一步減稅,英鎊跌至歷史新低:9月26日消息,盡管金融市場對英國財政大臣夸滕的財政政策給出了嚴厲的評價,但在其誓言將繼續推進更多的減稅政策之后,英鎊暴跌超過4.5%,創下歷史新低。

上周五英國政府公布的“增長計劃”之后出現對英鎊的拋售,在市場進入新一周之際幾乎沒有減弱的跡象。在周一亞盤交易時段,英鎊兌美元跌至紀錄低點。如果本周繼續下跌,英國可能會從一場短期的尷尬走向更深刻的危機,從而迫使政府做出迅速的政策回應。(金十)[2022/9/26 7:21:06]

Supermojo完成600萬美元種子輪融資,BH Digital等領投:7月15日消息,NFT融資平臺Supermojo完成600萬美元種子輪融資 ,BH Digital、DRW Venture Capital、Intersection Growth Partners和Neuberger Berman領投,Sfermion、Arca、Gemini、Everyrealm、Arrington Capital、BlockFi Ventures、Circle Ventures、Crossbeam Venture Partners、Draper、FJ Labs、FBG Capital、OP Crypto、Red Beard Ventures和Ripple等參投。(The Block)[2022/7/15 2:14:07]

2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。

3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。

6. 歸還“閃電貸”,完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。

一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKEAUTOTOCUTODryCakeSwapAUTO價格DeFi Yield ProtocolMSDliutongl

加密貨幣
晚間必讀5篇 | 誰能建立隱私計算的“分布式數據湖”?_DEF:unisat錢包發布

1.金色深核|誰能建立隱私計算的“分布式數據湖”?時下,是應該聊聊數據和隱私的時候了。2019年末,我曾把零知識證明、多方計算、可信執行環境等隱私計算技術的代表項目匯聚到一起做了一期極為深度的討.

1900/1/1 0:00:00
金色百科 | Circle、tZERO等加密公司上市為什么選擇SPAC?_PAC:CIR

自Coinbase今年4月成功上市,越來越多的加密貨幣企業包括礦企、交易所業務等紛紛踏上了合規、上市的道路.

1900/1/1 0:00:00
有用戶400多萬元虛擬貨幣無法提現 原因在這_比特幣:BIG

近日,中證君接到投資者爆料,由于自己賬戶被某虛擬貨幣交易平臺所凍結,名下超過400萬元的虛擬貨幣無法提取。該投資者的資金還包括購房款和借款,這幾個月以來可謂心急如焚.

1900/1/1 0:00:00
金色趨勢丨BTC貼近年線 醞釀雙重底背離?_比特幣:比特幣交易所下載官網app

這一輪從312低點啟動的牛市行情,自前期價格站上年均線后一直再未跌破,可以發現前期312大跌后走出一個V形反轉,突破上方年均線并反復確認后啟動了這波牛市行情.

1900/1/1 0:00:00
數字經濟學家陳曉華:區塊鏈為“十四五”數字經濟發展夯實基礎_區塊鏈:npc幣中立金融鏈

在中國大數據應用大會暨Web 3.0中國峰會上,數字經濟學家陳曉華表示,區塊鏈技術正是推動經濟高質量發展、效率變革、動力升級的重要驅動力.

1900/1/1 0:00:00
福布斯:央行數字貨幣的成功應用離不開全球合作與協調_BDC:CBD

CBDC的成功將有益于為經濟增長、普惠金融、國內發展和全球貿易提供支持。立法者、央行官員和金融監管機構應在全球范圍內協調實行中央銀行數字貨幣(CBDC),以促進更平價、更快速、更具包容性和更透明.

1900/1/1 0:00:00
ads