一、事件概览
北京时间7月14日,链必安-区块链安全态势感知平台舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocketFinance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。
成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocketFinance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocketFinance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。
Sharpei(ShaB)将于今晚21:30上线BSC:据官方消息,ShaB(中文名沙皮犬,英文全称为Sharpei)将于5月10日21:30上线BSC,即将支持ETH、Heco、ZSC等多条公链上进行交互。
ShaB是社区自治型通证,无私募,团队无预留,去中心化自发社区建设的实验,总量1000万亿。它是SHABINU的原生代币,是被去中心化交易所Sharpei Finance上线并用于激励措施的代币。团队将于5月10日21:30将SHAB打入流动性资金池,是BSC上热门DEX-Pancake。[2021/5/10 21:45:34]
Umbrella Network将从以太坊转移到BSC:Umbrella Network正将其基础从以太坊转移到成本相对较低的智能合约平台BSC。该公司在周一的公告中说:与在其他平台上工作相比,与BSC的集成为Umbrella提供了多个优势,其中包括交易费用比以太坊低90%以上。(CoinDesk)[2021/5/3 21:20:41]
二、事件分析
?攻击过程分析
1.攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。
MX接入币安智能链BSC,拓展BSC链上应用场景:据官方消息,MXC抹茶与币安智能链BSC达成深度合作,MXC抹茶平台通证MX将作为跨链资产接入币安智能链BSC,拓展BSC链上借贷、流动性挖矿、DEX交易等场景。同时,MXC抹茶还将上线BSC资产专区,上线更多BSC链上资产。未来,双方还将围绕BSC与MX,拓展更多合作的可能与场景。
MX是MXC抹茶平台唯一通证,币币及ETF利润100%销毁MX,目前已实现手续费抵扣、项目投票续期、打新抽签加成、MX DeFi挖矿质押等使用场景。[2021/2/22 17:38:36]
2.随后,将其中的509143个cake抵押至AutoCake。
公告 | OKEx支持对WebScoket API数据压缩:据OKEx官方公告,OKEx现支持对WebScoket API返回的数据进行GIZP压缩处理,该功能已于今日18:00上线,OKEx将同时支持压缩及非压缩数据持续一周,将于2018年10月24日12:00(HKT)停止对非压缩数据的支持。[2018/10/16]
3.攻击者将剩余的1105916个cake直接打入AutoCake合约。
4.然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。
5.完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACEToken进行获利。
6.归还“闪电贷”,完成整个攻击后离场。
?攻击原理分析
l在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。
l在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”。
l一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。
l但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACEToken发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACEToken也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACEToken。
三、事件复盘
不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACEToken完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。
成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。
从马斯克发表挖矿浪费能源到以太坊转为权益证明机制,从中国禁止挖矿到CNBC,一个比特币的网络真的可以消耗如此大的资源吗?你很可能看到了ElonMusk的推文,宣布出于环保考虑.
“不一样生态城”---「第一届线上NFT加密狂欢节」已经上线。这一次,Odaily星球日报联合一线互联网公司以及行业头部NFT明星项目在线上打造了一座“NFT生态城”。带你进入神奇的加密世界.
吴说作者|吴卓铖 本期编辑|ColinWu我们了解了EIP-1559的机制,现在尝试预估未来一年basefee的燃烧数量.
链集市·让区块链落地更简单 《区块链行业观察》专栏·第46篇作者丨RamishCheema 图片丨来源于网络 当投资者和消费者提到“区块链”这个词的时候,大多数人首先想到的就是比特币.
星际视界IPFSNEWS讯:7月23日,在星际视界主办的杭州站活动上,TouchainNFTCEO周亚池在《碳链如何推动NFT资产充分流通》主题演讲中表示.
随着比特币在萨尔瓦多正式成为法定货币,比特币在这个中美洲国家慢慢变得流行起来。前往萨尔瓦多的记者vanWirdum在推特上分享了他在萨尔瓦多麦当劳使用比特币支付的经历:刚走进萨尔瓦多的一家麦当劳.
区块见闻