币非凡 - 区块链|交易所导航 www.bifeifan.com
当前位置:网站首页 > 新闻 > 正文

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析

admin 2021-07-15 1665 浏览

一、事件概览

北京时间7月14日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocket Finance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。

成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocket Finance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocket Finance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析 Finance ApeRocket 事件 闪电 新贸链价格 新贸链 新贸链2020前景 新闻  第1张

二、事件分析

攻击过程分析

1. 攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析 Finance ApeRocket 事件 闪电 新贸链价格 新贸链 新贸链2020前景 新闻  第2张

2. 随后,将其中的509143个cake抵押至AutoCake(相当于是Aperocket的策略合约)。

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析 Finance ApeRocket 事件 闪电 新贸链价格 新贸链 新贸链2020前景 新闻  第3张

3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析 Finance ApeRocket 事件 闪电 新贸链价格 新贸链 新贸链2020前景 新闻  第4张

4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析 Finance ApeRocket 事件 闪电 新贸链价格 新贸链 新贸链2020前景 新闻  第5张

5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析 Finance ApeRocket 事件 闪电 新贸链价格 新贸链 新贸链2020前景 新闻  第6张

6. 归还“闪电贷”,完成整个攻击后离场。

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析 Finance ApeRocket 事件 闪电 新贸链价格 新贸链 新贸链2020前景 新闻  第7张

攻击原理分析

在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。

在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。

一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。

但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析 Finance ApeRocket 事件 闪电 新贸链价格 新贸链 新贸链2020前景 新闻  第8张

三、事件复盘

不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。

成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。

相关推荐

为什么猿猴头像会席卷推特?看看项目创始人怎么说

...

ETH 2.0升级完成之后,将会有哪些变化?

...

路易威登推出主题纪念NFT游戏,抽明信片或赢得至少10ETH奖金(附参与教程)

...

速览链上资管协议 dHedge V2 核心升级及设计亮点

...

富达斥资2000万美元购买Marathon Digital7.4%的股份

...

Alpha质押者,符合条件可领取BETA代币(附教程)

...

Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资
Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资

关于分布式资本分布式资本是亚洲第一家也是最活跃的专注于区块链的风险投资公司。它由区块链和传统金融行业的资深人士于2015年在上海创立,迄今为止,它已经支持了...

39分钟前 admin

Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资
Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资

关于分布式资本分布式资本是亚洲第一家也是最活跃的专注于区块链的风险投资公司。它由区块链和传统金融行业的资深人士于2015年在上海创立,迄今为止,它已经支持了...

3小时前 admin

一文读懂区块链预言机:为什么它这么重要

...

Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资
Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资

关于分布式资本分布式资本是亚洲第一家也是最活跃的专注于区块链的风险投资公司。它由区块链和传统金融行业的资深人士于2015年在上海创立,迄今为止,它已经支持了...

5小时前 admin

读懂a16z参投的ZED RUN:如何打造炫酷的NFT赛马游戏

...

美国银行领衔参与投资,Paxos完成3亿美元D轮融资

...

损失近2070万美元,防不胜防?Popsicle Finance被攻击事件全解析

...

Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资
Plasm & Shiden 背后的 Stake 科技完成 1000 万美元的战略融资

关于分布式资本分布式资本是亚洲第一家也是最活跃的专注于区块链的风险投资公司。它由区块链和传统金融行业的资深人士于2015年在上海创立,迄今为止,它已经支持了...

7小时前 admin

美SEC主席:中本聪创新是真实的,立法重心是交易借贷和DeFi(演讲全文)

...