一、事件概览
北京时间7月14日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocket Finance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。
成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocket Finance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocket Finance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。
二、事件分析
攻击过程分析
1. 攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。
OpenSea 9月份交易额突破10亿美元:9月8日消息,截至9月7日,OpenSea 9月份累计交易额为10.74亿美元。9月7日,OpenSea交易额为1.04亿美元。[2021/9/8 23:08:45]
2. 随后,将其中的509143个cake抵押至AutoCake(相当于是Aperocket的策略合约)。
3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。
4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。
5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。
6. 归还“闪电贷”,完成整个攻击后离场。
攻击原理分析
在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。
在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。
一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。
但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。
三、事件复盘
不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。
成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。
标签:CAKEUTOAUTOTOCCake MonsterUTO币autofarm币最新消息Dragonfly Protocol
Cardano 的最新更新 Alonzo 将为该网络带来 DeFi 和 Dapps 。对于许多人来说,这一次升级再次强化了 Cardano 低费率、高速度的竞争模式。 尽管 Cardano 与 Ethereum 是在同年创立的,由于其同行评审的实施架构,Cardano 的发展一直比较缓慢。
自我们面向开发者开放 Arbitrum One(中文译本) 以来已经过去了一月有余。整整一个月来,我们都在紧锣密鼓地筹备基础设施建设、dApp 部署、跨链桥等事项,只为让 Arbitrum One 生态以最佳姿态展现在大家面前。此刻,我们稍作喘息,写下这篇文章来向大家同步我们的当前进展以及未来计划。
DeFi数据 1.DeFi总市值:724.95亿美元 市值前十币种排名数据来源DeFibox DeFi总市值数据来源:Coingecko 2.过去24小时去中心化交易所的交易量:31.4亿美元 过去24小时去中心化交易所的交易量数据来源:Debank 交易量排名前十的DEX 排名来源:DeFibox 3.DeFi借贷平台借款总量:209。
1.监管进行时 多国加密货币法律框架建设加速 至今比特币系统已经运行了十余年,但比特币在各国及地区的合法性和政策仍有不同。随着比特币逐渐走向主流社会以及去年到今年初的超级大牛市,不同国家和地区对加密货币的监管有所调整。
注:原文作者是以太坊联合创始人Vitalik Buterin,在这篇文章中,他描述了一种新型的M-of-N密钥分享方案,并提出了脑钱包和社交恢复设计的两种应用案例。 假设你希望生成一个秘密 s,而s可通过将N个密钥分享中的M个放在一起来恢复,其中所有N个密钥分享是预先知道的。
在中国大数据应用大会暨Web 3.0中国峰会上,数字经济学家陈晓华表示,区块链技术正是推动经济高质量发展、效率变革、动力升级的重要驱动力,也是全球新一轮产业竞争的制高点和促进实体经济振兴、加快转型升级的新动能。 此外,为夯实区块链技术赋能数字经济产业发展基础,陈晓华从五个维度提出构想。 以下为发言原文。