一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
綠地集團旗下子公司擬申請香港虛擬資產交易牌照:金色財經報道,從綠地金創獲悉,該公司正計劃申請在香港交易虛擬資產的牌照。綠地金創是綠地控股集團旗下子公司。據悉,綠地金創將成立一家新公司專注于虛擬資產交易,并將向香港證券及期貨事務監察委員會提交申請。如果獲得批準,將致力于推出交易加密貨幣、NFT以及與碳排放相關的產品。所有計劃都需獲得香港證券及期貨事務監察委員會的批準。[2023/5/17 15:08:30]
二、事件分析
Binance Custody推出非交易所結算解決方案Binance Mirror:1月16日,據官方公告,機構數字資產托管機構Binance Custody宣布正式推出Binance Mirror,其非交易所(off-exchange)結算解決方案使機構能夠訪問幣安交易所生態系統內的交易和投資產品,而無需直接在交易所提交抵押品。
通過利用Binance Mirror,機構將指定金額的資產余額鎖定在其Qualified Wallet(Binance Custody冷存儲解決方案)中,并以1:1的余額將其鏡像到其幣安交易所賬戶。只要其Mirror頭寸在幣安交易所未平倉,他們的資產就可以安全地存放在隔離的冷錢包中,并且可以隨時結算。[2023/1/17 11:15:04]
攻擊過程分析
STEPN將于12月8日進行維護擬停服至少4小時:金色財經報道,據STEPN在社交媒體發布消息,其網絡將于UTC時間12月8日9:00進行維護擬停服至少4小時,STEPN提醒用戶保存電子郵件地址和錢包助記詞。[2022/12/7 21:29:06]
1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。
Fuse Media將成為Theta Metachain的啟動合作伙伴:金色財經報道,據新聞稿稱,作為8月24日宣布的交易的一部分,Fuse Media將利用Theta Ecosystem的一系列工具,包括用于傳輸視頻流的Theta Video API。Fuse Media還將整合基于Theta的NFT和TNT 20代幣,以提高其受眾的參與度。Theta Metachain計劃于12月1日推出。(cryptoslate)[2022/8/25 12:47:59]
3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。
4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。
6. 歸還“閃電貸”,完成整個攻擊后離場。
攻擊原理分析
在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。
一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
Tags:CAKEAUTOUTOTOCpancakeswap幣種價格Autobahn NetworkshequtokenRepublic Protocol
根據glassnode的數據,今年前三個月,比特幣的單月日均挖礦收入(幣本位)都保持在1000 BTC以上。其中,2月的日均挖礦收入約為1053.90 BTC,是上半年挖礦收入最高的一個月.
1900/1/1 0:00:001.數據告訴你 ARK究竟有多熱衷加密貨幣市場ARK主要原因是其關注那些應用革命性技術的公司。這類科技包括人工智能、DNA測序、基因編輯、機器人、電動車、儲能技術、金融科技、3D打印、區塊鏈、加.
1900/1/1 0:00:00加密貨幣交易所之間的競爭非常激烈,在相當長時間里,一種經營策略這個“狂野世界”中似乎從未奏效,即——擁抱監管。但現在,情況似乎有所不同了.
1900/1/1 0:00:00最近的一項調查顯示,在過去三年里,比特幣在美國年輕投資者中的認知度、興趣和持有率都有所提高。全球分析和咨詢公司蓋洛普(Gallup)開展的這項研究顯示,美國持有比特幣的投資者數量從2018年的2.
1900/1/1 0:00:00今年上半年,加密貨幣領域的 NFT 賽道達到了前所未有的頂峰,這歸功于 NFT 本身的出圈" 體質 ".
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00