一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
Matrixport:BSC的TVL已降至34.5億美元,是2021年3月以來的最低水平:金色財經報道,加密貨幣服務提供商Matrixport最新報告表示,Binance Coin(BNB)第四次測試關鍵的220/200美元水平,如果這個水平被打破,可能會對情緒產生嚴重影響。
此外,BSC的總價值鎖定(TVL)已降至34.5億美元,是2021年3月以來的最低水平,表明已部署的資本正在從BSC項目中撤出。因此,BSC上產生的費用比一年前下降了-50%,每天只有80萬美元,目前比2023年第二季度的日均值下降了-30%。[2023/6/15 21:39:35]
DeFi協議xWin在以太坊和BSC上推出新版升級機器人顧問平臺xWIN Finance v2:金色財經報道,DeFi 協議 xWin 宣布在以太坊和 BSC 上推出新版升級機器人顧問平臺 xWIN Finance v2,該平臺可以幫助對沖基金或投資者通過 xWIN Robo Advisor 引擎并根據風險偏好創建自己的去中心化基金,并支持包括構建個人儲備庫、將各種交易或 DeFi 策略集成到一個投資組合在內的多項功能。(madrastribune)[2023/1/16 11:13:53]
二、事件分析
?攻擊過程分析
1.攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
BSC鏈上跨鏈橋 Logan Network將于1月24日20:00開始首期挖礦:據官方消息,BSC幣安智能鏈上跨鏈橋 Logan Network將于1月24日20:00開始首期挖礦,用戶可通過抵押相關資產以獲取Logan Governance Token獎勵。獲取的Logan獎勵可質押至分紅池,獲取額外的SLogan。
Logan通過與不同的生態系統平臺合作,引導各生態系統的早期用戶進行跨鏈流動,實現各個公鏈以及layer2之間的資產快速流動,將不同鏈上資產的流動性聚合起來,構建去中心化方式的跨鏈資產移轉。為更多的生態用戶提供服務,提供最優質的交易體驗,敬請關注Logan官方渠道。[2022/1/24 9:09:38]
BSC鏈上Impossible Finance疑似遭到閃電貸攻擊:PeckShield“派盾”預警顯示,BSC鏈上DeFi協議Impossible Finance疑似遭到閃電貸攻擊,請用戶注意規避風險。[2021/6/21 23:53:14]
2.隨后,將其中的509143個cake抵押至AutoCake。
3.攻擊者將剩余的1105916個cake直接打入AutoCake合約。
4.然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5.完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。
6.歸還“閃電貸”,完成整個攻擊后離場。
?攻擊原理分析
l在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
l在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。
l一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
l但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
作者:談叔編輯:ColinWu2017年9月4日,中國人民銀行等七部委聯合發布了《(1)》,對于“首次代幣發行進行融資的活動”進行了明令禁止,與此同時,也對于“代幣融資交易平臺”進行了禁止.
1900/1/1 0:00:00RoyaMahboob是阿富汗第一位女性科技首席執行官,也是《時代》周刊排行中在世界上最有影響力的人物之一,也是最早將比特幣引入阿富汗的企業家之一.
1900/1/1 0:00:00吳說作者|談叔 本期編輯|ColinWuTether增發的絕大部分都提供給了兩家公司根據區塊鏈媒體Protos的(1),絕大多數增發的USDT都提供給了兩家公司.
1900/1/1 0:00:00前言 8月4日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的DeFi協議WaultFinance遭遇閃電貸襲擊,價值跌落近半。實驗室第一時間跟蹤本次事件并分析.
1900/1/1 0:00:00今天財新周刊發文《政策“驅除”挖礦》,再次提及了虛擬貨幣挖礦。報道中對于比特幣挖礦原理、國家政策進行介紹.
1900/1/1 0:00:00是時候做好首屆REVVRacing錦標賽的準備了,除了在出發前擁有一個REVVRacingNFT,別無任何要求.
1900/1/1 0:00:00