“闪电贷攻击”再现 ApeRocket Finance被黑事件简析

一、事件概览

北京时间7月14日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocket Finance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。

成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocket Finance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocket Finance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。

报告:亚洲一半的富裕投资者的投资组合中有加密货币:金色财经报道,根据埃森哲周一发布的研究,包括加密货币、稳定币和加密基金在内的数字资产平均占受访投资者投资组合的7%,使其成为亚洲投资者的第五大资产类别。埃森哲表示,这项调查是在中国、香港、印度、印度尼西亚、日本、马来西亚、新加坡和泰国的3,200多名客户中进行的。该公司将富裕投资者定义为管理100,000美元至100万美元可投资资产的任何人。尽管亚洲有一半的投资者在2022年第一季度已经持有数字资产,但埃森哲的研究表明,到2022年底,预计还会有21%的投资者投资于这些资产,这意味着多达73%的亚洲富裕投资者可以持有数字资产。(cointelegraph)[2022/6/8 4:09:42]

二、事件分析

攻击过程分析

1. 攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。

USDC仅为Circle的第二大业务:金色财经报道,根据周四发布的投资者介绍文件,Circle公司拥有三个业务线,所有业务均产生不断增长的收入。其中,USDC只是收入的第二大贡献者。文件估计Circle将在2021年产生1.15亿美元的收入,但在年底亏损7600万美元。在这些收入中,预计4000万美元来自USDC,6500万美元来自交易和资金服务(TTS),1000万美元来自其于2019年收购的股权众筹平台SeedInvest。[2021/7/9 0:38:16]

2. 随后,将其中的509143个cake抵押至AutoCake(相当于是Aperocket的策略合约)。

3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。

4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。

5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。

6. 归还“闪电贷”,完成整个攻击后离场。

攻击原理分析

在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。

在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。

一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。

但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。

三、事件复盘

不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。

成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

以太坊交易算力回稳 矿业“机构化”与“基金化”

"在这场前所未有的算力大迁徙中,新的矿业格局正在重构。" 尘埃落定之后,矿业生态正在逐步回稳。 据 Glassnode 7 月 13 日数据显示,在过去一周,比特币算力已从原来 55% 的跌幅恢复到 39% 左右的跌幅,倘若这种恢复速度能够继续,这代表着约 29% 曾受影响的算力已重新上线。

SOL研究表明:加拿大CBDC可以促进该国的数字创新

加拿大央行发布的一项研究指出了该国可以从自己的央行数字货币(CBDC)中受益的一些有利理由。 该文件列出了两种可能导致该行在未来某天发行CBDC的情况。一种可能是,出于尚未说明的原因,加拿大公民不再在国内广泛使用现金。另一种可能是,如果一种数字货币——无论是公共的还是私人的——被广泛采用,以至于威胁到加拿大现有中央货币的主权。

以太坊交易所数字人民币试图解决三个问题:智能合约有何作用

7月16日,央行公布了数字人民币e-CNY的研发[白皮书](1),对于已经在测试阶段的e-CNY作了非常详细的介绍。在世界范围内,尽管也有别的国家推出了由央行发行的数字货币,比如巴哈马在去年推出的[Sand Dollar](2),但无论从经济实力或是国家影响力来看,中国推出的e-CNY都走在了世界的前列。

[0:0ms0-3:285ms