一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
DeFIL 2.0 在BSC上LP流動資金池突破1000萬美元:據最新鏈上數據顯示,DeFIL 2.0 已于BSC區塊高度#10525502正式上線幣安智能鏈,并同步開啟全部功能。截止2021年9月7日 13:30 (UTC+8),PancakeSwap上FILST-USDT($3.64M)、FILST-eFIL($2.44M)、DFL-USDT($4.10M)三個LP流動資金池超1000萬美元。平臺治理通證DFL最新報價為0.70USDT/DFL,FILST最新報價為7.74USDT/FILST。
注:DeFIL 2.0在BSC上的交互需要用戶在支持BSC的錢包應用中從以太坊切換為BSC網絡,并且在交易所購買少量BNB轉入錢包用作智能合約交互所需的Gas費用。[2021/9/7 23:05:50]
BSC鏈上DeFi協議xWin發布閃電貸攻擊總結,共計損失1007枚BNB:官方消息,BSC鏈上DeFi協議xWin發布此次遭遇閃電貸攻擊的總結,BSC鏈上區塊編號為8589726和8589740。據介紹,xWIN協議中有4種方式可獲得xWIN代幣獎勵:xWIN推薦系統、xWIN獎勵系統、xWIN資金庫所有者/經理獎勵系統、以及xWIN資金庫代幣挖礦和質押。xWin團隊決定終止推薦費系統、獎勵費系統、經歷獎勵費系統。此前推薦地址中累積的所有獎勵費和推薦費仍然可以提取。
此前消息,PeckShield派盾預警顯示,BSC鏈上DeFi協議xWin遭到閃電貸攻擊。[2021/6/27 0:09:41]
二、事件分析
PeckShield:BSC鏈上Impossible Finance 遭到閃電貸攻擊攻擊者獲利49.7萬美元:北京時間 6 月 21 日,PeckShield “派盾”預警顯示,BSC鏈上DeFi協議Impossible Finance遭到閃電貸攻擊,攻擊者獲利1,510.75WBNB(合計 49.7 萬美元)。[2021/6/21 23:53:28]
?攻擊過程分析
1.攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
BSC鏈上自動做市商BurgerSwap遭閃電貸攻擊:5月28日消息,PeckShield派盾預警顯示,BSC鏈上自動做市商BurgerSwap疑似遭遇閃電貸攻擊,被盜超過432,874個Burger,約330萬美元,目前攻擊者已通過1inch獲利變現,目前仍有20萬枚Burger。有一名為EdisonOh投資者表示,其在投資了100萬美元并質押了xBURGER池,目前流動性從100萬美元下降到只有1萬美元,損失了97%。[2021/5/28 22:51:18]
2.隨后,將其中的509143個cake抵押至AutoCake。
3.攻擊者將剩余的1105916個cake直接打入AutoCake合約。
4.然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5.完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。
6.歸還“閃電貸”,完成整個攻擊后離場。
?攻擊原理分析
l在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
l在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。
l一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
l但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
——導讀—— 前文,我們介紹了對虛擬機的歷史、特點、發展以及Solidity和EVM進行詳細介紹.
1900/1/1 0:00:00近段時間,傳奇4的火熱也讓不少小伙伴們高呼爺青回,特別是加密市場的部分小伙伴,一邊玩著青少年時期都為之狂熱的游戲,一邊還能用自己熟悉的方式在上面牟利,以往都是在游戲上花錢.
1900/1/1 0:00:00元宇宙這一概念來源于1992年的科幻小說《雪崩》,是只一個脫離于現實世界,但又與現實世界相互影響的一個虛擬世界。誰也沒想到,這一概念在30年后正逐漸從小說走進現實.
1900/1/1 0:00:00今天為大家帶來的項目是一個大概率能得到空投的項目—AladdinDAO。AladdinDAO是一個通過集體價值發現將加密投資從風險資本家轉移到群體智慧的去中心化網絡.
1900/1/1 0:00:00星際視界IPFSNEWS訊:7月23日,在星際視界主辦的杭州站活動上,TouchainNFTCEO周亞池在《碳鏈如何推動NFT資產充分流通》主題演講中表示.
1900/1/1 0:00:00|TVL數據回升 自從BTC價格從高位回撤之后,DeFi板塊也遭受了重創。但是,DeFi的實際應用使其擁有較強的基本面支撐,近一個月以來,CoinDeskDeFi指數在400附近兩次出現強勢反彈.
1900/1/1 0:00:00