一、事件概览
北京时间7月14日,链必安-区块链安全态势感知平台舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocketFinance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。
成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocketFinance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocketFinance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。
CoFix Yuyi:在金融科技的应用中,当前最繁荣的生态无疑是以太坊生态:金色财经报道,6月9日,CoFix ETH Zurich Research Fellow and NEST Chief Adviso Yuyi做客金色财经举办的“Web3.0-从信息交互到万物互联还要走多久?”为主题的金色沙龙第63期活动。Yuyi表示关于web3.0的定义是分歧很大的,有人认为“万物互联”最重要,有人认为“语义网络”更重要。我认为应该更关注从中心化走向去中心化。组织架构上,与2.0差异并不大,只是在开放程度上会更加宽泛,这需要一个长期的实践和发展来总结具体的范式标准。当前可预见的有所突破的方向是开源文化的共识增强和DAO组织形式的发展;技术架构包含很多,除了2.0已有的技术以外,更多的将价值转移以及公平分发、隐私等涵盖进去,涉及到存储、开放的数据库、普通个人价值的体现等等。若以当前区块链作为基础设施构建3.0的话,主要体现在金融交互协议的技术构建上。在金融科技的应用中,当前最繁荣的生态无疑是以太坊生态,在保证高度去中心化的同时,也在逐步完善低的交易费用以及向世界级的流动性金融交互上突破,对于超大额资金流动性的交互更注重的一定是安全性、自由开放,而不是交易速度,那么要完善世界级的交易场景,最重要的就是价格数据的安全和稳定。[2021/6/9 23:24:58]
NEST LABS负责人Tina:COFI理念将成为DEFI 2.0与DEFI 1.0之间的分水岭:据官方消息,12月17日,火币DeFi实验室运营负责人高潮和NESTLABS负责人TinaZhang做客火星视频直播,就《NEST预言机助推DeFi2.0加速启动》话题展开对话。
在Tina看来,区块链具备天然的金融属性,因此Token资产的金融属性体现就变得非常重要了,NEST预言机就给这些Token资产发挥自己的金融属性提供了基础支持和可能性。单凭这一点,NEST预言机已经成为DeFi领域比较重要的基础设施了。
另一个层面,NEST社区提出了COFI可计算金融理念,这一理念将在DEFI2.0时代中发挥很大的作用。或者说,COFI理念将成为DEFI2.0与DEFI1.0之间的分水岭。[2020/12/17 15:33:20]
二、事件分析
Visa 借记卡平台 Swipe 收购 Fincofex,成立子部门 SwipeX:多资产数字钱包和 Visa 借记卡平台 Swipe 宣布收购获得英国电子货币机构许可的初创公司 Fincofex,并创立子部门 SwipeX Financial。SwipeX 将在明年初向客户开放服务,并为 B2C 和 B2B 产品提供广泛的附加服务,SwipeX 服务将由 SXP 提供支持和支付。
Fincofex 此前获得过 Swift 会员资格,可以处理 Swift 汇款,也是万事达卡在英国和欧洲经济区的主要成员,可以为企业发行借记卡。[2020/11/7 11:55:11]
?攻击过程分析
新型自动化做市协议CoFiX24小时交易量达3000万美元:新型自动化做市协议CoFiX发推表示,新型自动化做市协议CoFiX(CoFi)24小时交易量达到3000万美元。其推出三周以来,CoFiX已为所有CoFi持有者赚取了1,634.19枚ETH。此前报道,CoFiX于10月12日正式上线,同步启动流动性挖矿和交易挖矿计划。流动性提供者(即做市商)和交易者可以分别通过向CoFiX系统提供流动性或进行交易获得CoFi代币。按照CoFiX挖矿机制设计,90%的CoFi代币将通过流动性挖矿和交易挖矿分发给用户。[2020/11/6 11:53:08]
1.攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。
2.随后,将其中的509143个cake抵押至AutoCake。
3.攻击者将剩余的1105916个cake直接打入AutoCake合约。
4.然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。
5.完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACEToken进行获利。
6.归还“闪电贷”,完成整个攻击后离场。
?攻击原理分析
l在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。
l在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”。
l一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。
l但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACEToken发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACEToken也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACEToken。
三、事件复盘
不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACEToken完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。
成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。
标签:CAKEAUTOTOCUTOBEAGLECAKEBizAutoYearn Finance Protocolautopark
加入PolkaWorld社区,共建Web3.0! 刚刚,作为Kusama理事会成员之一,PolkaWorld参与投票通过了Motion346,开启了Kusama第六次拍卖开启.
当区块链达到1,265,000后,以太坊正式进行了EIP-1559升级,也称为了“伦敦升级”,至此,以太坊正式进入ETH2.0时代.
撰文|Danny,CoFiX协议核心贡献者在链上用去中心化的方式做交易,是很多人的梦想。一次次试验之后,大家找到了自动做市模型AMM,从而解决了链上撮合匹配成本极高的难题.
一、什么是元宇宙 正如电影《头号玩家》的场景,在未来的某一天,人们可以随时随地切换身份,自由穿梭于物理世界和数字世界,在虚拟空间和时间节点所构成的“元宇宙”中学习、工作、交友、购物、旅游等.
如果要问目前哪个加密项目最有用,最有可能从游戏、购物、银行等业务全面改变世界的运作方式,答案很明确,那就是以太坊。因为以太坊凭借着革命性的智能合约为DeFi、NFT等热潮提供了土壤和动力.
当你正在电脑上惬意的玩着《侠盗猎车手5》的时候,你能否想象此时你的电脑正在被木马程序控制着,为千里之外的一家科技公司"挖矿",为它们赚取加密货币?当你正在浏览网页时.