ALA:收益聚合器 Aperocket 多鏈閃電貸攻擊的「困」與「破」_DADDYCAKE

7月14日，布局在BSC和Polygon鏈上的收益聚合器Aperocket在不到12小時的時間內先后遭到閃電貸攻擊。

據PeckShield「派盾」追蹤和定位分析，雖然攻擊者兩次運用的攻擊手法不同，但都是源于Aperocket存在的收益通脹漏洞。

在BSC鏈上的Aperocket遭到攻擊后，其代幣SPACE的價格短時下跌75%。

獎金儲蓄平臺Rand在波卡生態Acala上推出收益聚合器:金色財經報道，據波卡官方消息，獎金儲蓄平臺Rand宣布將使用 Acala 的 EVM+ 為其 APP 和平臺推出全新收益聚合器，利用 aUSD 收益為其用戶創造利息收入。Rand 計劃將 Acala 的其他功能整合到他們的應用中，讓 Rand 的用戶也能夠輕松進入 Acala DeFi 生態。據悉，收益策略將使用 aUSD 向 Acala Swap 提供流動性，并與部署在 Acala 上的其他貨幣市場整合，在 Acala EVM+ 上部署合約允許用戶通過 Metamask 直接使用 aUSD 為他們的賬戶充值，公共保險庫由 Rand 托管和創建，為 Acala 平臺的新用戶提供金融賬戶。[2022/2/24 10:12:37]

Aperocket是「Fork」此前遭到閃電貸攻擊閃崩，觸發一系列閃電貸攻擊多米諾的PancakeBunny的收益聚合器。

BSC收益聚合器Eleven Finance公布補償計劃:官方消息，BSC收益聚合器Eleven Finance公布補償計劃。據悉，Eleven Finance在6月23日遭遇黑客攻擊，損失480萬美元。項目方決定：1、短期補償方案：先向受害者賠償損失的25%，大約120萬美元。資金來自賠償基金（51.2萬美元）以及團隊借款68.8萬美元。按照目前情況，團隊需要1年多的時間才能清償債務。2、長期方案：剩下的360萬美元將通過多種方式籌集。包括團隊將創建“恢復保管庫”(RV)，不斷累積Eleven Finance代幣ELE，直到完全達到補償為止。同時鑄造360 萬個“11RV”代幣，所有的11RV 代幣都將被抵押在保險庫中，然后根據按比例分配給每個受影響的用戶。[2021/7/4 0:26:14]

用戶通過質押ApeSwap的LPToken、CAKE或SPACE等代幣來獲得自動復合收益。

Anchor Protocol宣布與Orion Money合作推出穩定幣收益聚合器EthAnchor:Anchor Protocol 官推宣布與 Orion Money 合作推出穩定幣收益聚合器 EthAnchor。[2021/6/12 23:32:46]

在此安全事件中，攻擊者質押CAKE，獲得CAKE獎勵和SPACE代幣獎勵，利用AutoCake:withdrawAll()?存在的漏洞獲利。

幣安智能鏈上DeFi收益聚合器PancakeBunny遭閃電貸攻擊，代幣BUNNY價格閃崩:5月20日消息，PeckShield 「派盾」預警顯示，幣安智能鏈（BSC）上的DeFi收益聚合器PancakeBunny遭遇閃電貸攻擊，損失114,631.5421WBNB和697,245.5699BUNNY，合計約4500萬美元。代幣BUNNY的價格在6點35分左右從240美元閃崩，一度跌破2美元，最高跌幅一度超99%。PancakeBunny官方推特和電報頻道尚未發布關于此事件的說明。[2021/5/20 22:23:02]

PeckShield「派盾」簡述BSC鏈上的攻擊過程：

首先，攻擊者從PancakeSwap借出兩筆閃電貸，共計161.5萬枚CAKE；

然后將50.9萬枚CAKE存入資金池，這一步有助于攻擊者在后期調用AutoCake合約中的WithdrawAll()或earned()函數時，資金池會鑄造SPACE代幣；

由于第一次攻擊者將大量CAKE質押至資金池，這快速提高了它在該資金池的持股占比，使其能夠分得90%以上的AutoCake質押收益，即CAKE和SPACE；

在完成前期工作將CAKE存入資金池之后，攻擊者進行了第二筆交易，將110.5萬枚CAKE質押到AutoCake合約中，調用AutoCake合約中的harvest函數觸發復投，相當于CAKE復利池的套娃版，質押CAKE，可以挖到CAKE，合約再把所獲CAKE自動質押到CAKE資金池中。

隨著合約計入的CAKE不斷增長，鑄造的SPACE就隨之增長。

最終，攻擊者返還閃電貸，獲利883.5BNB。據PeckShield「派盾」統計，攻擊者在Polygon上獲利約100萬美元。

自2021年第一季度，DeFi市場呈現出多鏈生態迸發的趨勢，整個市場延續了2020年下半年強勁增長的勢頭，大多數指標都創下了歷史新高。

然而，隨著虛擬貨幣市場在第二季度后期回調，DeFi領域也或多或少受到影響。各公鏈在爭奪流動性的同時，現有的DeFi協議也在探索和適應新興的運營方式—多鏈布局。

可觀的回報率有助于吸引流動性，但同時多鏈布局也對協議的安全性、安全響應速度提出更高要求。當安全事件發生時，不僅需要對已遭攻擊的漏洞進行第一時間排查，提出安全方案，同時要在一條鏈上發現潛在的漏洞時，第一時間去檢測另一條或多條鏈上的協議是否存在類似地問題，并及時預警社區，提出安全解決方案，避免關聯的有價資產曝露在風險中，有利于減小已知的、可能造成的更大損失。

在經過今年上半年與攻擊者的攻防戰中，PeckShield「派盾」發現，建立風控熔斷機制，引入第三方安全公司的態勢感知情報服務，第一時間響應安全風險，及時排查封堵安全攻擊，能夠有效減小閃電貸攻擊造成的損失。

隨著多鏈部署的興起，在處理安全事件時，要求協議參與方、專業的安全團隊比攻擊者更沉著冷靜，這本就是一場時間的爭奪戰，攻擊者不會停下來容我們反思，只有比攻擊者先想一步，哪怕是一小步，都有可能成為我們在這場爭奪戰中取得階段性勝利的一大步。

Tags：CAKEANCALACALDADDYCAKEFecore FinanceGalaxy Warethical怎么記憶

SAND