加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

BSC生態又一起“閃電貸攻擊”再現 | ApeRocket Finance被黑事件簡析 -ODAILY_CAKE:TOC

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

AmazingDoge宣布與BSC鏈上BabySwap達成合作:據官方推特消息,今日晚間19點,AmazingDoge官方宣布與BbaySwap達成合作,Baby在GameFi與NFT方向給與ADOGE支持。

AmazingDoge是一個BSC鏈上的MeMe代幣,目前正在布局NFT和鏈游方向,NFT盲盒已經發布。[2022/4/19 14:34:19]

二、事件分析

?攻擊過程分析

基于BSC的P2E游戲TapMonster完成一筆機構融資:10月5日消息,基于幣安智能鏈的P2E游戲TapMonster完成一筆機構融資,Silicon VC、Chainup Capital、Leland Ventures、Win Capital、Dimension Ventures 、Gravel Ventures、Future Guild、21st Capital等參投。

TapMonster是一款基于幣安智能鏈構建的RPG戰斗和NFT制造收集的玩賺游戲。玩家通過招募原住民戰斗升級獲取令牌獎勵,并且鑄造生成屬性更強大的原住民在市場中出售獲利。目前游戲已經進入開發末期,將于本月上線BETA版本。[2021/10/5 17:25:03]

1.攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

BSC生態Pancakebunny:與PolyBunny網站沒有任何關系:DeFi收益聚合器Pancakebunny發推警告稱,PolyBunny網站與Pancakebunny在Polygon上上線沒有任何關系,請注意防范風險。[2021/6/23 23:59:24]

2.隨后,將其中的509143個cake抵押至AutoCake。

HDLSWAP將于6月16日同步上線HECO和BSC:據官方消息,HDLSWAP已通過安全審計,將于6月16日21:00點同步上線HECO和BSC。據介紹,韓國浦項區塊鏈技術團隊攜手原有以太坊技術人員打造的HDLSWAP具有BTC模型SWAP,創世區塊800萬枚HDL,占總量6.16%,分配于天使輪、技術團隊和投資機構;剩余93.84%由IDO產出,天使輪資金將逐步投入HDLSWAP流動池。

HDLSWAP2.0上線,讓區塊鏈資產在自治的同時,DeFi交易更加便捷,IDO項目選擇性、操作性更強,NFT功能性更廣。[2021/6/13 23:34:01]

3.攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4.然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5.完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.歸還“閃電貸”,完成整個攻擊后離場。

?攻擊原理分析

l在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

l在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。

l一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

l但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKEAUTOUTOTOCcake幣挖礦教程Autonomous Economic Matrixuto幣交易所EXCAVO Protocol

歐易交易所app官網下載
為什么 Filecoin 非常適合開發 Web3 應用?-ODAILY_OIN:Filecoin

作為一個旨在存儲人類社會最重要信息的分布式網絡,為抵達這一最終目標,Filecoin的前方依然還有很長的一段路要走,在實現這一愿景的過程中,對于Filecoin而言最重要的事項之一.

1900/1/1 0:00:00
EIP-1559 將銷毀多少 ETH,會帶來通縮嗎?|響指研究所周報#06-ODAILY_ETH:UST

本期要點: 以2021年實際網絡交易費測算EIP-1559執行后的通脹水平。基本費占總交易費的75%、50%、25%這3種情況下,通脹率在1.26%-2.66%之間,該區間的下限1.26%低于比.

1900/1/1 0:00:00
波卡生態一周觀察丨波卡生態突然熱鬧了起來,背后發生了什么?-ODAILY_AMA:SokuSwap

Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.

1900/1/1 0:00:00
2021萬向區塊鏈黑客松大賽等你來戰-ODAILY_MOO:BEAM

由萬向區塊鏈實驗室主辦的2021萬向區塊鏈黑客馬拉松大賽于8月3日正式開戰!本次大賽主命題為「數字世界2077」,我們期待不同領域的開發者加入本次黑客松活動,借助Moonbeam現有開發工具.

1900/1/1 0:00:00
Chair.Finance:一個正試圖掀起NFT2.0革命浪潮的項目-ODAILY_NFT:Avatar Chain

最近一年時間,加密領域紅極一時,受疫情的影響,細分領域中的DeFi以及NFT都已然出圈。DeFi已經從一個細分領域發展成為涵蓋DEX、資產借貸、穩定幣以及DAO等賽道的生態體系.

1900/1/1 0:00:00
以太坊主網將于八月初啟動倫敦升級-ODAILY_以太坊:Sint-Truidense Voetbalvereniging Fan Token

再過26天,全球以太坊礦工們都在關注的EIP1559即將生效。本周,升級代碼已經部署至最終測試網,萬眾矚目的以太坊主網倫敦硬分叉也越來越近,將于下個月4日發布.

1900/1/1 0:00:00
ads