比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 波場 > Info

CAKE:“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析_Open Proprietary Protocol

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

數據:當前每枚WLD代幣申領者的平均利潤近55美元:金色財經報道,據21co鏈上分析師Tom Wan披露Dune Analytics最新鏈上數據顯示,本文撰寫時已申領的WLD代幣總量已突破170萬枚(1,708,961枚),參與代幣申領的地址總量為68,389個,當前每枚WLD代幣申領者的平均利潤為54.74美元。[2023/7/25 15:57:04]

二、事件分析

攻擊過程分析

Algorand基金會與非營利組織BAF將合作支持區塊鏈學生俱樂部:4月25日消息,Algorand基金會宣布與非營利組織區塊鏈加速基金會(BAF)建立合作伙伴關系,將致力于在美洲創建和支持區塊鏈學生俱樂部,加速全球區塊鏈創新者社區的發展,并使Algorand更容易為學生開發者所接受。

Algorand基金會表示,該合作伙伴關系將包括以Algorand為重點的英語和西班牙語教育網絡系列、在Consensus 2023上的區塊鏈俱樂部領導人外聯計劃,以及由Algorand技術團隊等引導學生完成的一個技術項目。[2023/4/25 14:25:16]

1.?攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

美聯儲巴爾金對恢復50bp的加息持開放態度:金色財經報道,3月11日,2024年FOMC票委、里奇蒙德聯儲主席巴爾金周五在接受采訪時表示,在通脹持續的情況下,他尚未就即將到來的加息做出決定(此前一直主張加息25個基點)。同時,他還表示,“在任何特定的會議上,我總是說我對任何結果都持開放態度”,并指出他“永遠不會放棄任何可能性”。“上次加息25bp并不意味著每次會議都是25bp”,巴爾金的表態與本周鮑威爾證詞相呼應,當時鮑威爾表示,如果未來的數據顯示有必要,他對重新加息50bp持開放態度。對于硅谷銀行事件對美聯儲貨幣政策潛在影響,巴爾金認為,他主要關注經濟需求,金融穩定“可能會影響,也可能不會影響”,“我將繼續回應,直到我們控制住通脹”。他補充稱,如果伴隨3月會議發布的經濟預測摘要被修正,高于去年12月5.1%的預期水平,他不會感到意外。 (英國金融時報)[2023/3/11 12:57:15]

SEC警告個人退休賬戶(IRA)中的加密資產可能是未注冊證券:金色財經報道,美國證券交易委員會(SEC)周二發布了一份投資者警告,表示個人退休賬戶(IRA)中的加密資產可能是未注冊證券。SEC指出,一些IRA有時會提供加密投資,而這些可能是未經SEC注冊或有效注冊豁免而提供的證券,并且可能沒有提供完整或準確的信息來幫助投資者做出明智的決定。這些加密資產的許多交易平臺都將自己稱為‘交易所’,這可能會給投資者一種他們已在美國證券交易委員會注冊的錯誤印象。[2023/2/8 11:53:33]

2.?隨后,將其中的509143個cake抵押至AutoCake。

3.?攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4.?然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5.?完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.?歸還“閃電貸”,完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。

一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKETOCUTOAUTODADDYCAKEOpen Proprietary Protocolutopia幣價格AutoBitco Token

波場
比特幣:礦業新秩序:頭部礦企出海 中小礦工何去何從?_以太坊

在經歷最為瘋狂的半年后,中國的加密礦業在5至6月進入了一段急劇動蕩的時期。在各地政府的打擊下,國內絕大多數礦場遭到關停,今年高點剛入場的礦工遭遇巨大損失,部分礦工在經濟壓力下的拋售也導致加密市場.

1900/1/1 0:00:00
NFT:漫畫版 Eth2 的世界 原來是這樣的_Shiro Inu

作為一名漫畫師,從去年10月入圈,一直想畫一幅關于幣圈的漫畫。這幅作品從6月28日晚上開始構思,29日畫完草稿,一直到7月1日凌晨,畫了3-4天終于畫好了.

1900/1/1 0:00:00
DEF:DeFi貸款的現狀_DEFI

概述 自2017年以來,抵押不足的貸款一直是DeFi難以實現的圣杯。目前,通過Maker、Compound和Aave等平臺,大部分的DeFi都是以過度抵押的形式提供相對循環的用例.

1900/1/1 0:00:00
UNI:「DeFi教育基金」拋售Uniswap財庫撥款引爭議_Brainaut Defi

將50萬UNI通過場外銷售獲得1020萬USDC后,DeFiEducationFund點燃了Uniswap部分社區成員的怒火.

1900/1/1 0:00:00
比特幣:比特幣礦業大變局:有人高位套現離場 有人奔向詩與遠方_RIT20幣

這兩天行情真不錯,比特幣引領其他幣種一路上漲,成功突破35000美元關口。行情反彈,沉寂已久的幣圈仿佛一下子活躍起來,有人甚至直呼:“牛市回來了!”與炒幣者相比,礦工朋友卻沉寂得多.

1900/1/1 0:00:00
數字貨幣:央行數字貨幣對貨幣體系意味著什么?_數字貨幣違法行為

英國將在未來幾周就央行數字貨幣進行磋商:金色財經報道,英國財政大臣杰里米亨特周五表示,英國政府將在“未來幾周內”就央行數字貨幣的案例進行磋商.

1900/1/1 0:00:00
ads