買比特幣 買比特幣
Ctrl+D 買比特幣
ads

AUTO:“閃電貸攻擊”再現 ApeRocket Finance被黑事件簡析_UTO

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。

成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。

加密資產管理平臺Haru Invest獲得立陶宛對其歐盟業務的VASP授權:3月27日消息,數字資產管理平臺Haru Invest宣布其在歐盟注冊成立的子公司Haru EULimited UAB已成為其歐盟運營總部。作為VASP授權企業,Haru Invest現在可以提供加密交換和錢包/托管服務。據悉,該VASP授權正式允許該公司直接支持歐元貨幣,使歐盟國家能夠在加密貨幣和歐元之間進行購買和交易。[2023/3/27 13:28:14]

BBC:過去12個月元宇宙虛擬地塊購買支出接近20億美元:金色財經報道,據BBC披露,在過去12個月里,隨著普通人和企業競相在元宇宙世界中站穩腳跟,已有近20億美元(約合17.5億英鎊)花費在虛擬地塊購買上。目前最受歡迎的元宇宙之一是Decentraland,三星、UPS 和蘇富比、以及時尚品牌Philipp Plein都其中購買了虛擬地塊構建商店和游客中心;而在The Sandbox中,阿迪達斯、雅達利、育碧、Binance、華納音樂和Gucci購買了虛擬地塊。[2022/11/4 12:17:37]

二、事件分析

攻擊過程分析

Celsius破產案獨立審查員提交調查初步計劃,調查結果預計10月21日提交給法院:10月12日消息,加密借貸平臺Celsius破產案獨立審查員Shoba Pilla為她即將進行的調查提交了初步計劃,計劃稱為滿足法庭的最后期限要求,要求Celsius法律顧問加快文件的制作速度。

Shoba Pilla表示,雖然現在做出確切的估計還為時過早,但她預計調查的總成本將在300萬至500萬美元之間。預計會采訪15-25名證人,并在“非采訪環境”中與Celsius高管和員工交談,以促進信息流動。

該工作計劃將于10月21日提交給首席破產法官Martin Glenn以供批準。案件各方可以在10月18日之前提出異議或評論。(TheBlock)[2022/10/12 10:31:57]

1.?攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。

BTFS V2.2.0主網-Mendel已上線:據官方消息,BTFS V2.2.0主網-Mendel已上線,更新內容包括:BTFS節點默認以礦工模式啟動;BTFS節點內存優化;引入在線簽名服務和在線證明合約;發布BTFS儀表盤/BTFS瀏覽器v2.2.0版本。

據悉,BitTorrent文件系統(BTFS)既是一種協議,也是一種網絡應用,它提供了一種內容可尋址的點對點機制,用于在去中心化的文件系統中存儲和共享數字化內容,同時,它也為去中心化應用(Dapp)提供了一個基礎平臺。BTFS團隊一直在根據最新的網絡運行情況和BTT市場行情等,進行上傳價格、空投獎勵方案等一系列動態調整。[2022/8/1 2:51:38]

2.?隨后,將其中的509143個cake抵押至AutoCake。

3.?攻擊者將剩余的1105916個cake直接打入AutoCake合約。

4.?然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。

5.?完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。

6.?歸還“閃電貸”,完成整個攻擊后離場。

攻擊原理分析

在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。

在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。

一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。

但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。

三、事件復盤

不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。

成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。

Tags:CAKEUTOTOCAUTODRYCAKE幣Utopia USDButterfly ProtocolAutoBitco Token

SHIB最新價格
區塊鏈:金色深核|誰能建立隱私計算的“分布式數據湖”?_魔獸幣是有使用區塊鏈技術嗎

在信息時代裸奔,我們總會被數據挾持、出賣。因為你的數據不屬于你。時下,是應該聊聊數據和隱私的時候了.

1900/1/1 0:00:00
UMA:小眾賽道「合成資產」釋放了哪些潛力?_SUSD

近日,DeFi資產板塊集體上揚,尤屬合成資產板塊龍頭Synthetix漲幅最高,近7天漲幅高達52.3%,現報價為11.4美元.

1900/1/1 0:00:00
區塊鏈:比特幣的誕生 真的改變了世界嗎?_比特幣

比特幣的歷史 2008年10月,在全球經濟衰退導致政府出面救助銀行系統的情況下,某人以中本聰(SatoshiNakamoto)為化名發布了一份名為《比特幣:點對點電子現金系統》的白皮書.

1900/1/1 0:00:00
ALA:7.13晚間行情:BTC震蕩將近2個月 短期內能能否突破37000?_RHOBUSD

文章系金色財經專欄作者趨勢王者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
SAS:論Osasion歐賽DC協議解讀下的必要思考_ASI

伴隨最近Osasion歐賽項目消息的逐漸鋪排,結合推特等內容進行梳理和學習,社區聯合基金會編譯組也對Osasion歐賽發布的內容做了相關梳理和匯編,以方便社區的伙伴學習和了解.

1900/1/1 0:00:00
FIL:中幣行情看點:比特幣網絡用戶不斷增長表明越來越多人開始入場_OIN

熱點摘要: 1.馬云、蔡崇信家族財富管理基金藍池資本投資NFT開發商AnimocaBrands;2.比特幣網絡用戶不斷增長表明越來越多人開始入場;3.

1900/1/1 0:00:00
ads