一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
無聊猿BAYC#4980以530ETH的價格成交:5月16日消息,編號為#4980的Bored Ape Yacht Club系列NFT以530ETH(約96萬美元)的價格成交,買方為NFT巨鯨Free Lunch Capital,賣方已持有該NFT超過2年時間,獲利524ETH。
注:BAYC#4980毛發為金色,被認為是該系列NFT中罕見的特征,Crypto Slam數據顯示,#4980在該系列NFT10000強中排名第115。[2023/5/16 15:04:59]
數據:約80%的ADA持幣地址正處于浮虧狀態:3月6日消息,據 IntoTheBlock 數據顯示,當前約 353 萬個 Cardano(ADA)持幣地址處于浮虧狀態,約占總持幣地址數量的 80%;盈利地址僅為 682,920 個,不及總持幣地址數量的 16%;其余 173,770 個持幣地址處于成本價位,約占總持幣地址數的 4%。[2023/3/6 12:45:17]
二、事件分析
攻擊過程分析
1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
MAGIC短時上漲至0.73美元上方,1小時增幅達到42%:金色財經報道,或受幣安上線 MAGIC 影響,據 coingecko 數據顯示當前 MAGIC 價格出現短時上漲并達到 0.745398 美元,過去 1 小時增幅為 42%,過去 24 小時漲幅 37.6%。[2022/12/12 21:39:03]
2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。
Trading Tent將集成COTI旗下穩定幣Djed:金色財經消息,Cardano生態項目COTI與實時交易協議Trading Tent達成合作,Trading Tent計劃將COTI旗下穩定幣Djed集成至交易系統中,允許用戶使用Djed交易NFT以及其他Cardano原生資產。[2022/6/29 1:40:10]
3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。
4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。
6. 歸還“閃電貸”,完成整個攻擊后離場。
攻擊原理分析
在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。
一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
Tags:CAKETOCAUTOUTOBABYCAKEUmbrella Protocol幣AutoBitco TokenPLUTO價格
Uniswap v3 在恒定乘積曲線 x*y=k 的基礎上增加了粒度控制功能(《對 Uniswap v3 的研究》(2021 年第 33 期)).
1900/1/1 0:00:00注,原文來自Gamma Strategies,以下為全文編譯。Uniswap V3 主動管理策略的成本可分解為成為活躍流動性提供者的gas成本和Optimism節約的成本兩塊.
1900/1/1 0:00:00LUSD具有超額抵押穩定幣里最優秀的機制,雖然上線時間不足3個月,但是其機制的有效性已經完全得到驗證.
1900/1/1 0:00:00社交代幣(Social Token),隨著創作者經濟(Creator Economy)的興起,在加密圈內引起了廣泛的關注.
1900/1/1 0:00:002008年,中本聰發表了論文《比特幣:一種點對點的電子現金系統》,這篇論文給區塊鏈技術和加密數字貨幣發明提供了基礎。至今比特幣系統已經運行了十余年,但比特幣在各國及地區的合法性和政策仍有不同.
1900/1/1 0:00:00在信息時代裸奔,我們總會被數據挾持、出賣。因為你的數據不屬于你。時下,是應該聊聊數據和隱私的時候了.
1900/1/1 0:00:00