比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

CAKE:“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

對沖基金大鱷阿克曼:美銀或將于周一收購簽名銀行:金色財經報道,潘興廣場資本管理公司創始人比爾·阿克曼發推稱:“我聽說美國銀行將在周一收購簽名銀行。除非我們能夠保護沒有保險的存款,否則小銀行的資金成本將會上升,迫使它們合并或被SIB(系統重要性銀行)收購。我不認為這對美國有利。”

這位對沖基金大鱷還表示,第一共和銀行(FRB)的“違約風險現在正在蔓延到我們最大的銀行”,并補充說,“分散金融蔓延的風險以實現對FRB的錯誤信心是糟糕的政策。”[2023/3/19 13:13:11]

Precog Finance完成350萬美元私募輪融資:10月22日消息,去中心化加密自動交易服務提供商Precog Finance宣布完成350萬美元私募輪融資,Web3風險投資公司和做市商DWF Labs參投并與之建立戰略合作伙伴關系。(einnews)[2022/10/22 16:35:15]

二、事件分析

攻擊過程分析

1.?攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

派盾:New Free Dao攻擊者將1000枚BNB轉移至Tornado Cash:9月16日消息,據派盾預警監測,New Free Dao項目攻擊者地址已將1000枚BNB(約27萬美元)轉移到TornadoCash。

此前9月8日消息,New Free Dao項目遭閃電貸攻擊,攻擊者獲利4500枚BNB(約合125萬美元)。[2022/9/16 7:00:41]

2.?隨后,將其中的509143個cake抵押至AutoCake。

OpenNode與LemonCash達成合作:7月1日消息,OpenNode宣布與數字錢包服務提供商LemonCash達成合作,利用閃電網絡提供低成本和即時結算服務。據1ml最新數據顯示,當前比特幣閃電網絡容量已達到4012.08BTC(約合81,868,208.90美元),節點數量為17689個,30增幅0.67%。(prnewswire)[2022/7/1 1:43:35]

3.?攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4.?然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5.?完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.?歸還“閃電貸”,完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。

一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKEUTOAUTOTOCGCAKE幣ValutoAutomataBard Protocol

幣贏交易所
比特幣:冒充交易所客服詐騙的始作俑者

近年來,在涉及虛擬貨幣相關的犯罪中,詐騙類已經逐漸步入“發展期”,成為了增長最快的違法犯罪類型.

1900/1/1 0:00:00
區塊鏈:行業盛會 巔峰相聚 星際聯盟受邀參加Web3.0中國峰會

7月15日,Web3.0中國峰會中國大數據應用大會在成都隆重舉辦,星際聯盟受邀參加本次峰會。星際聯盟CTO毛必盛在大會上發表了精彩演講,并作為嘉賓參與圓桌論壇交流分享.

1900/1/1 0:00:00
區塊鏈:金色早報 | 灰度:GDLC已成為向美國SEC報告的基金

頭條 ▌灰度:GDLC已成為向美國SEC報告的基金灰度官方發推表示,GDLC已成為向美國證券交易委員會報告的基金,我們剛剛在表格10上提交了三個額外產品的注冊聲明.

1900/1/1 0:00:00
區塊鏈:金色沙龍第66期杭州站 Layer2-擴容空間站 探索更高維度的破局之道

由金色財經、zkTube聯合主辦金色沙龍第66期杭州站:“Layer2-擴容“空間站”,探索更高維度的破局之道”即將于7月9日13:00在杭州市干江區解放東路29號迪凱銀座6層DSFSLABS舉.

1900/1/1 0:00:00
區塊鏈:新聞周刊 | 國務院:推進科普與區塊鏈技術深度融合

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.

1900/1/1 0:00:00
比特幣:晚間必讀5篇 | 在虛擬世界“炒房”?元宇宙的想象力究竟在哪?

1.9月24日漸近韓國加密貨幣交易所陷入生死迷局根據《特定金融信息法》,若加密交易所沒有在9月24日之前完成金融情報部門報告以及滿足ISMS認證和實名賬戶等先決條件,將會面臨關門.

1900/1/1 0:00:00
ads