“闪电贷攻击”再现 ApeRocket Finance被黑事件简析

一、事件概览

北京时间7月14日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocket Finance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。

成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocket Finance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocket Finance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。

与以太坊EVM兼容的区块链基础设施Rangers Protocol宣布其主网启动:12月9日消息,Rangers Protocol主网于12月7日正式上线,全面支持NFT和复杂应用部署以及NFT跨链的开发者和用户。作为Rangers Protocol的核心技术,Rangers Engine和Rangers Connector在支持EVM兼容和NFT跨链功能方面已经发挥作用。此外,它还提供关键开发文档,有效简化广大开发者的dapp开发流程。

Rangers Protocol是一个元宇宙区块链基础设施。它是用于复杂开发和数据迁移的高性能引擎。Rangers Protocol完全兼容以太坊,专业支持NFT和复杂应用,集成和扩展跨链、NFT、EVM、分布式网络协议。(The Block)[2021/12/9 13:00:19]

闪电网络节点数量已达14580个:金色财经报道,据1ML.com数据,目前,支撑网络的节点数量达到14580个,相较30天前数据,环比上涨2.95%;通道数量为35299,相较30天前数据,环比下降2.2%;闪电网络承载能力目前为1040.82BTC,约合1657.61万美元。[2020/11/14 20:49:49]

二、事件分析

攻击过程分析

1. 攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。

2. 随后,将其中的509143个cake抵押至AutoCake(相当于是Aperocket的策略合约)。

郑州市副市长:正在探索搭建以区块链等为支撑的地方金融风险监管平台:9月18日,2020国家网络安全宣传周“金融网络安全论坛”在河南郑州举办。郑州市副市长史占勇致辞表示,目前郑州正在积极探索搭建以云计算、区块链等金融科技手段为支撑的综合金融服务平台和地方金融风险监管平台,进一步加大地方金融监管力度。(大河报)[2020/9/18]

3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。

4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。

5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。

6. 归还“闪电贷”,完成整个攻击后离场。

攻击原理分析

在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。

在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。

一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。

但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。

三、事件复盘

不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。

成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

币安app官网下载NFT来势汹汹 如何与元宇宙产生梦幻联动?

区块链技术上的NFT,被认为是建构并达成元宇宙中各个虚拟社会走向大同的一种真正联结。 今年以来,元宇宙(Metaverse)和NFT成为区块链行业两个相当热门的话题。元宇宙是一个脱胎于现实世界,又与现实世界平行、相互影响,并且始终在线的虚拟世界。NFT是一种非同质化通证,能够映射虚拟物品,带来了数字所有权和可验证性。

区块链晚间必读5篇 | 谁能建立隐私计算的“分布式数据湖”?

1.金色深核|谁能建立隐私计算的“分布式数据湖”? 时下,是应该聊聊数据和隐私的时候了。2019年末,我曾把零知识证明、多方计算、可信执行环境等隐私计算技术的代表项目汇聚到一起做了一期极为深度的讨论。那时,在区块链产业分布里已经有了隐私赛道,有少数项目在研究、拓展、尝试,只是对于隐私、隐私计算以及数据等维度并没有那么清晰的判断。

FTX硅基上的平行世界 是梦幻乌托邦 还是不可阻挡的趋势洪流?

现在,"元宇宙"概念成为了区块链加密行业里少有的一抹亮色。 Axie Infinty、My Neighbor Alice、Sandbox、Decentraland 等区块链元宇宙概念项目,受到了市场极大的追捧,无论是链上土地竞拍、加密资产价格,还是活跃用户数,都在这个疲软的市场中,创造出了惊人的增长。

[0:0ms0-7:24ms