一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
OKX向香港KYC用戶提供這16種加密貨幣現貨交易服務:金色財經報道,OKX今日宣布向香港KYC用戶提供16種主流加密貨幣現貨交易服務。這16種加密貨幣,OKX向金色財經透露為:BTC、ETH、ADA、MATIC、SOL、DOT、UNI、LINK、SAND、LTC、AVAX、AXS、ATOM、XLM、USDT和USDC。
據悉,OKX香港KYC用戶可使用港幣、點對點 (P2P) 或通過第三方供應商如 ApplePay、Visa和MasterCard卡進行這16種加密貨幣交易。[2023/5/25 10:39:13]
元宇宙娛樂平臺Zebra Labs完成500萬美元融資:10月31日消息,元宇宙數字娛樂平臺Zebra Labs(斑偶研究所)完成500萬美元融資,中國游戲公司網龍(NetDragon)和日本企業集團住友(Sumitomo)參投。
據悉,Zebra Labs幫助明星藝人將虛擬形象帶入到元宇宙。今年6月,Zebra Labs發布旗下虛擬IP“biubiu小斑馬”與明星大張偉合作的首支元宇宙音樂短片《滿懷可愛所向披靡!》。Zebra Labs與另外五位藝人的合作正在籌備中。(Techcrunch)[2022/10/31 12:00:41]
二、事件分析
薩爾瓦多的比特幣債券將再次推遲:金色財經報道,Bitfinex和Tether首席技術官Paolo Ardoino告訴《財富》雜志,薩爾瓦多的比特幣債券(Volcano Bond)將進一步推遲,直到今年晚些時候。Paolo Ardoino表示,如果發行債券所必需的立法能夠于9月通過,將有兩到三個月的時間來推出Volcano Bond,這表明銷售可能會在2022年底之前進行。
2021年11月,薩爾瓦多總統Nayib Bukele首次宣布了比特幣債券(也稱為Volcano代幣),該項目從投資者那里籌集了10億美元,其中一半用于為基礎設施項目融資,另一半用于購買比特幣,Bitfinex被選為唯一的交易所提供商。盡管該代幣原定于2022年初首次亮相,但薩爾瓦多財政部長將其推遲到3月中旬,然后隨著比特幣價格暴跌而無限期推遲。Stifel Financial Corp.新興市場主權研究主管Nathalie Marshik表示,這可能是由于投資者缺乏興趣,尤其是美國投資者被禁止在Bitfinex上交易。[2022/8/31 12:59:30]
攻擊過程分析
持有1000枚以上BTC的地址數量達到1個月高點:金色財經報道,Glassnode數據顯示,持有1000枚以上BTC的地址數量達到1個月高點,數量為2152。[2022/8/25 12:46:50]
1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。
3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。
4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。
6. 歸還“閃電貸”,完成整個攻擊后離場。
攻擊原理分析
在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。
一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
盡管加密貨幣生態系統普遍認為「代碼即法律」,一切都是公平的游戲,但多數加密系統也依賴于一定程度的社會共識和良好的公民意識,才得以保持良好的整體用戶體驗.
1900/1/1 0:00:00在區塊鏈蓬勃發展的今天,“mining”已成為了區塊鏈世界中舉足輕重的一環。無論是pos還是pow,或者是最近大火的DeFi mining、存儲mining等,都具有著旺盛的生命力.
1900/1/1 0:00:00從易見股份今年4月28日盤后宣布因不能如期披露年報而停牌開始,持有該股的投資者就預感不好。因為滬深兩市無法正常披露2020年年報的只有兩家公司,另一家是已經收到退市事先告知書的斯太爾.
1900/1/1 0:00:00DeFi數據 1.DeFi總市值:745.26億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:28.
1900/1/1 0:00:00新的 Raiden Python 客戶端版本已于主網上線。該版本對后端進行了很多改進,提高了整體用戶體驗和 Raiden 網絡的可靠性。其中,最大的改進之處是改變了傳輸層,并縮短了同步時間.
1900/1/1 0:00:00編者注:本文作者為Tracy Levine,Forbes Coaches委員會成員、Tracy LevineForbes 委員會成員.
1900/1/1 0:00:00