一、事件概覽
北京時間7月14日,鏈必安-區塊鏈安全態勢感知平臺輿情監測顯示,BSC生態DeFi收益耕種聚合器ApeRocketFinance遭遇“閃電貸攻擊”。據相關消息指出,此次攻擊事件中,攻擊者針對的是ApeRocket其下Apeswap的SPACE-BNB池,其項目代幣SPACE已下跌逾75%。
成都鏈安·安全團隊近期已披露多起BSC生態“閃電貸”攻擊事件,在ApeRocketFinance被黑事件中,攻擊者依然利用了“閃電貸”的攻擊原理,“換湯不換藥”,通過操縱項目合約的“質押收益”和“獎勵機制”從而進行獲利。值得注意的是,ApeRocketFinance是本月首起較為典型的安全攻擊事件,在此提醒各項目方做好日常安全審計和安全防護工作。
BTT加入BSC生態:據最新消息,BTT加入BSC生態,開啟萬鏈互聯戰略布局。
BitTorrent Chain 是異構鏈跨鏈互操作擴容協議,采用 POS(Proof of Stake)共識機制 ,通過側鏈進行智能合約的擴展。首發支持 Ethereum 、TRON 、BSC 公鏈跨鏈,未來將逐步支持更多公鏈。[2022/2/7 9:35:40]
二、事件分析
?攻擊過程分析
多個BSC鏈上項目將資金轉移至Tornado Cash,疑似Rug Pull:1月12日消息,據推特用戶 Rugdoc.io 反映,多個 BSC 鏈上 ID0 項目($QDROP , $MPLAY , $GOTEM , $ONEP , $HBARP , $ELIT , $PEE)將 BSC 鏈上價值超過 260 萬美元的 WBNB 轉移至隱私交易平臺 Tornado Cash,有 Rug Pull 嫌疑。[2022/1/12 8:43:43]
1.攻擊者首先利用了“閃電貸”,借取了1259459+355600個cake。
BXH笨小孩7月30日20:00正式登陸BSC:據BXH官方消息,一站式DeFi應用平臺BXH笨小孩于2021年7月30日 20:00(UTC+8)正式登陸BSC幣安智能鏈,ETH、USDC、BNB、USDT、BUSD、BTCB單幣礦池與上線時間同步開啟。
BXH V2新版本已完成戰略轉型,多鏈部署正式登陸BSC,致力于打造資產互通的全生態交易協議。[2021/7/30 1:25:28]
2.隨后,將其中的509143個cake抵押至AutoCake。
DeFiBox上線幣安智能鏈BSC專區,并支持BSC上8個項目實時追蹤挖礦收益功能:3月29日,據官方公告,一站式DeFi門戶DeFiBox.com現已正式開通幣安智能鏈BSC專區,幫助用戶一覽BSC鏈上優質DeFi項目。
此外,DeFiBox還宣布現已支持Venus、Autofarm、Goose Finance、1inch、JulSwap、Cream Finance、Alpaca Finance和BakerySwap的合約解析功能,用戶通過 DeFiBox.com 即可實時追蹤挖礦收益功能,并根據相關數據進行策略調整。
據DeFiBox團隊表示,未來DeFiBox.com 將更加深入地提供權威和完整的項目信息,幫助用戶快速發現優質項目投資機會。詳情見官網公告。[2021/3/29 19:26:09]
3.攻擊者將剩余的1105916個cake直接打入AutoCake合約。
4.然后攻擊者再調用AutoCake中的harvest觸發復投,將步驟3中打入Autocake的cake進行投資。
5.完成上述攻擊步驟后,攻擊者調用AutoCake中的getReward結算步驟2中的抵押盈利,隨即觸發獎勵機制鑄幣大量的SPACEToken進行獲利。
6.歸還“閃電貸”,完成整個攻擊后離場。
?攻擊原理分析
l在此次攻擊事件中,攻擊者首先在AutoCake中抵押了大量Cake,這使得其持股占比非常之高,從而能夠分得AutoCake中幾乎全部的質押收益。
l在步驟3中,攻擊者直接向AutoCake合約中打入大量cake,這部分cake因并沒有通過抵押的方式打入AutoCake合約;根據合約自身邏輯,將會被當作“獎勵”。
l一來一回,直接打入AutoCake中的cake大部分最終也會結算給攻擊者。
l但另一方面,在進行getReward操作時,函數會根據質押而獲得獎勵的數量來鑄幣SPACEToken發放給用戶,做為另外的獎勵。在正常情況下,質押獎勵較少,因此鑄幣的SPACEToken也會很少;但由于攻擊者上述的操作,便導致鑄出了大量的SPACEToken。
三、事件復盤
不難看出,這是一次典型的利用“閃電貸”而完成獲利的攻擊事件,其關鍵點在于AutoCake合約自身邏輯的“獎勵機制”,最終導致攻擊者鑄出了大量的SPACEToken完成獲利。同時,這也是本月首起典型的“閃電貸”攻擊事件,值得引起注意。
成都鏈安·安全團隊建議,隨著“閃電貸”在DeFi生態越來越受青睞,潛藏在暗處的攻擊者也隨時準備著利用“閃電貸”而發動攻擊。因此,DeFi生態各項目方仍然需要格外重視來自“閃電貸攻擊”的威脅,與第三方安全公司積極聯動,構建起一套完善而專業的安全防護機制。
PolkaBase于7.5日攜手Polkadot.club,Polkafund,CrustNetwork,PhalaNetwork,Darwinia,Bifrost,Zeitgeist.
1900/1/1 0:00:00從今年年初開始,不可替代代幣(NFT)市場一直在擴張,數字表明該領域的總資本目前可能在10-500億美元之間.
1900/1/1 0:00:00今天市場走出了比較悲觀的行情,市場情緒也不可避免的躁動了起來。最大的影響還國內挖礦項目的繼續關停。合肥在線今日發布文章《我省全面清理關停虛擬貨幣挖礦項目》.
1900/1/1 0:00:00從市場本身的狀況和基本面來看,最近并沒有什么影響市場的大消息出現。但是有一個跡象,隨著國內政策越來越明朗,市場消化得已經差不多了.
1900/1/1 0:00:006月27日18:00,安迪·沃霍爾的《三幅自畫像》NFT作品在BinanceNFT以280萬美元的價格成交,這也是安迪·沃霍爾作品的全球首次NFT拍賣.
1900/1/1 0:00:00由中民華彩、搜云科技共同主辦的“中國民族文化數字文庫——金主數字藝術品登記服務平臺全球發布會”計劃于7月30日在北京召開,屆時將深入探討“文化+科技+區塊鏈”未來新圖景.
1900/1/1 0:00:00