一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocket Finance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocket Finance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocket Finance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
跨鏈橋Hop社區發起定期獎勵Hop DAO貢獻者的提案:3月22日消息,DAO 治理公司 StableLab 在跨鏈橋 Hop 社區發起旨在定期獎勵主動為 DAO 做出貢獻的 Hop DAO 社區成員的 RFC(Request For Comments)提案。根據該提案,社區的任何成員都有資格獲得獎勵。每個月,論壇上都會開設一個提名討論帖。為 Hop DAO 做出貢獻的社區成員可以自我提名或由他人提名獲得追溯獎勵。
提案還提出一個為期 6 個月的試點計劃,在初始測試期間會將價值 3 萬美元的 Hop Token 發送給社區多重簽名,每位貢獻者的最高申請額度為 2000 美元。[2023/3/22 13:19:09]
Marathon Digital:依然持有超過11000枚比特幣:金色財經報道,Marathon Digital 表示,可以使用 Signature Bank 持有的 1.42 億美元現金存款,該銀行周日被州監管機構關閉。可以出于財務管理目的使用這些資金,并在正常業務過程中支付所有發票。Marathon還持有超過 11,000 個比特幣,該公司認為這為其提供了超越傳統銀行系統的金融選擇權。
另外,Marathon 證實它與硅谷銀行沒有直接業務關系,該銀行已于周五被當局關閉。[2023/3/13 13:01:35]
二、事件分析
攻擊過程分析
DODO發布2023年路線圖,計劃推出收入分成、復制交易等功能:1月18日消息,去中心化交易平臺DODO近期發布2023年路線圖,并表示將繼續擴大全球范圍,完善永續合約功能。具體如下:
2023年Q1,DODO的交易小部件將支持收入分成功能;DODOV3升級的第一階段專注于做市商,允許他們從零售用戶那里借入流動性,執行多代幣做市,以及獲得更低的Gas費;DODO去中心化流動性聚合服務SmartTrade進行升級。
2023年Q2,DODOV3升級的第二階段將引入杠桿交易工具;DODO推薦系統升級,更利于用戶。
2023年Q3, DODOV3升級的第三階段推出去中心化共同基金工具,該工具允許基金經理根據客戶的行為進行投資。
2023年Q4,推出DODO首支指數基金以及復制交易功能。[2023/1/18 11:18:14]
1. 攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
Ankr發布安全提醒:謹防虛假賬戶:金色財經報道,在Ankr宣布將重新空投新代幣ankrBNB后,該項目在社交媒體發布安全提醒,請用戶謹防冒充 Ankr 的虛假賬戶,Ankr目前僅有兩個推特賬戶@Ankr和@AnkrStaking,而且群組和管理員永遠不會主動給用戶發送私信。[2022/12/4 21:22:02]
2. 隨后,將其中的509143個cake抵押至AutoCake(相當于是Aperocket的策略合約)。
3. 攻擊者將剩余的1105916個cake直接打入AutoCake合約。
4. 然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5. 完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACE Token進行獲利。
6. 歸還“閃電貸”,完成整個攻擊后離場。
攻擊原理分析
在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”(抵押cake,獎勵也是cake)。
一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACE Token發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACE Token也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACE Token。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACE Token完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
Tags:CAKEAUTOUTOTOCBUNNYCAKEBizAutoPlutos NetworkUnifi Protocol DAO
7月15日,國際權威數據公司IDC發布了2020年中國BaaS廠商市場份額報告。報告顯示,螞蟻鏈以31.7%的市場占有率位居第一,華為、浪潮分別以12.6%和11.7%的市場占有率位居第二、第三.
1900/1/1 0:00:00金色財經 區塊鏈7月13日訊 美國歷史最悠久的銀行紐約梅隆銀行宣布已經與當前規模最大的加密貨幣資產管理公司 ——灰度投資(Grayscale Investments )簽署協議.
1900/1/1 0:00:00區塊鏈技術是目前最有可能在未來10年中取代互聯網的革命性技術,它及其應用是當今全球最熱門的話題之一.
1900/1/1 0:00:00金色財經 區塊鏈7月11日訊 最近幾個月,以太坊和比特幣下跌的不只有價格,目前使用這兩個網絡的成本——即交易費用——也在下降.
1900/1/1 0:00:00原標題:加密游戲與NFT2021年上半年的NFT在2021年5月下旬之前,由于整體市場和DeFi的數據亮眼,NFT的發展顯得沒那么突出.
1900/1/1 0:00:00變幻莫測的區塊鏈其中蘊藏著數以萬億計的潛在市場,隨著進程的不斷突破,區塊鏈技術圍繞公鏈展開的數字競賽已成為開發者們必將遇到的核心關鍵.
1900/1/1 0:00:00