COM:CertiK：ApolloX項目遭受黑客攻擊事件分析

北京時間2022年6月8日晚7點左右，CertiK審計團隊監測到ApolloX項目遭受黑客攻擊，其代幣價格驟降52.12%。

該項目于2021年12月啟動，APX作為ApolloX交易所的原生代幣，是幣安智能鏈上的一個BEP-20代幣。

攻擊者(0x9e532b19abd155ae5ced76ca2a206a732c68f261)通過反復調用ApolloxExchangeTreasury中的函數claim()，從該合約中獲得約5300萬APX代幣，后來被換成了210萬枚BUSD。攻擊者共進行了8次交易。

當日ApolloX正式宣布他們被黑客攻擊，并計劃通過公開回購APX和從交易所交易費中賺取的APX來彌補損失。

加密公司FTFT收購Alpha Financial Limited香港和深圳子公司:金色財經報道，納斯達克上市加密公司Future FinTech Group Inc.（FTFT）宣布旗下全資子公司FTFT HK已與香港持牌公司Alpha Financial Limited股權轉讓協議，收購其香港子公司 Alpha HK和深圳子公司Alpha SZ，具體收購金額暫未披露。Alpha HK持有香港證監會頒發的第一類“證券交易”、第二類“期貨合約交易”和第四類“證券咨詢”金融牌照，Future FinTech Group Inc.總部位于美國佛羅里達州，業務覆蓋區塊鏈網上商城、資產管理、加密貨幣挖礦、匯款、以及加密數據服務。（prnewswire）[2023/3/2 12:38:40]

推特公告鏈接：https://twitter.com/ApolloX_com/status/1534570239177789440?

合成資產協議Synthetix上線永續合約SNX Perps V2:12月23日消息，合成資產協議Synthetix宣布上線永續合約SNX Perps V2，為交易者提供5-10個基點的交易費用和深度流動性。所有交易都可以在Optimism鏈上的去中心化的交易前端Kwenta和Decentrex上進行。

Perps V2是一種新穎的交易引擎，可以有效地匹配買家和賣家，SNX質押者根據需要充當臨時對手方。質押者只會暫時承擔資產風險，而激勵措施會獎勵交易者使市場保持中立。[2022/12/23 22:03:44]

攻擊步驟

①攻擊者調用多個合約，而這些合約又反復調用ApolloxExchangeTreasury中的claim()函數。該函數用ECDSA.recover()成功驗證了輸入的信息和簽名，并將相應的代幣金額從合約中轉移到攻擊者手中。

GameStop計劃削減成本并在數字資產和Web3方面開發新產品:金色財經消息，電子游戲及相關產品零售商 GameStop (GME) 首席執行官 Matt Furlong 在給員工的一封信中表示，公司的重點已轉向消除多余成本并以強烈的所有者心態經營，在削減成本的推動下首席財務官 (CFO) Mike Recupero 離職，該職務將由首席會計官 Diana Jajeh 接任。

根據 Furlong 的信函，該公司計劃在數字資產和 Web3 中開發新產品。GameStop 從去年開始一直在進軍Web3 領域，計劃于今年晚些時候推出 NFT 市場，此前開發了一個用于存儲加密和 NFT 的數字資產錢包 GameStop Wallet。（CoinDesk）[2022/7/9 2:01:29]

②攻擊者通過PancakeSwap將APX代幣大量換成BUSD。

Dedoco完成300萬美元融資，True Global Ventures領投:5月27日消息，區塊鏈“文檔管理即服務”（DMaaS）提供商Dedoco完成300萬美元融資，True Global Ventures領投，籌集資金將用于全球擴張。截至目前，Dedoco的融資總金額為750萬美元。

據悉，Dedoco旨在通過區塊鏈技術為用戶提供更高的數據隱私和文檔安全性，Dedoco發布的文檔可以跨多個系統實現互操作，從而幫助企業向Web3過渡。（Prnasia）[2022/5/27 3:46:19]

漏洞交易

攻擊者利用了以下這些交易盜取了ApolloX代幣：

https://bscscan.com/tx/0x21e5e6ee42906a840c07eb39fb788553a3fbb5794562825c2a1d37bfc910e5f7

https://bscscan.com/tx/0x67a90c1af85c626460b928ccfde66432dd828b838038ef15400c577ee5386926

https://bscscan.com/tx/0xccc9e8ebf0472272b83e328a11e5aa5eb712c831dcd5bae32622dc238005aee0

https://bscscan.com/tx/0x34b29a393b68ae0f2e417485fb57ea7510a253c1b01431d04a66ca61e4fbbc8c

在PancakeSwap上的調換操作:

500萬APX換取了246,560BUSD?https://bscscan.com/tx/0xc2607de512e31737659b78e8b6f6cc4a82b10f3da953e901e95a0c7beea440de

700萬APX換取了291,276BUSD?https://bscscan.com/tx/0xe944b576b46402c830bf79062ba22728c55c87c73062f944f01d71d7fb707f53

700萬APX換取了246,243BUSD?https://bscscan.com/tx/0x55c45952611cdd1b1d1c168c1b0bd6198ff64c71abb67aecda8ffa4057758cc6

700萬APX換取了213,971BUSD?https://bscscan.com/tx/0x57030b6e64f81b854601abc5953837d4d7b3f2534593a1f48485fffd37630b94

700萬APX換取了160,999BUSD

https://bscscan.com/tx/0xf25688d3651bbade2cb67835050678ad4ab6f15f140a162fc2c3eed1821f8ec0

700萬APX換取了115,535BUSD

https://bscscan.com/tx/0xdf7e67aa67b8e56265cb05866d026015d0d6cafcefff5ba957b849df66a34284

700萬APX換取了183,061BUSD

https://bscscan.com/tx/0x72c7c6b8c73d4e70905c48f7fcc6a5c4a0ba27323067e7bbf2fae8f2cf80be02

約700萬APX換取了143,451BUSD

https://bscscan.com/tx/0x902ebbe7418c719032b524be101c2f3d88f8e061f85e19c5b6ab62a4b65b83c0

資產去向

①攻擊者賺取了約210萬BUSD，資產通過以下3個交易被轉移到ZAPbridge?

0x3d141a94a914947b3cc611f3e44d81be9f3147a9afaf168c57c4b5c638b16f71

0x07e4438429c55cfc1d1b2fcb8eb10cadc579d0b16c7b78af78a26448bc8b1d28

0x25ee8fc7d26ef11bce3d546517134b125d306f00bba253a2c13e6dcdc35b64f2

②隨后被轉移至以太坊的地址：0x9E532b19Abd155Ae5ced76cA2a206A732c68f261

寫在最后

通過審計，我們可以發現這一風險因素。

項目團隊使用的是Openzeppelin3.2.0版的標準ECDSA，簽名的生成在合約之外。

正常情況下，簽名的中心化控制可被監測到，以“中心化風險”的審計結果呈現于審計報告中。

來源：金色財經

Tags：COMAPXTPSHTTXCOMapx幣發行量tps幣行情htt幣價格

TRX