一、事件概览
北京时间7月14日,链必安-区块链安全态势感知平台舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocketFinance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。
成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocketFinance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocketFinance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。
Cardano开发人员:Hydra节点首个版本已发布:3月24日消息,Cardano开发人员Sebastian Nagel在推特上表示,可连接到Cardano公共测试网的Hydra节点的首个版本已发布,即0.4.0版本。据悉,Hydra是一种解决方案,可为Cardano网络提供改进的数据存储周期和每个节点空间的可扩展性和效率。此前3月16日消息,Cardano开发团队在Cardano公共测试网上发布首个Hydra Heads。[2022/3/24 14:14:38]
Conflux首款NFT+DEFI游戏ConDragon NFT首发MoonSwap两小时内售罄:12月16日12点,Conflux首款DeFi+NFT+RPG游戏 ConDragon NFT开启盲盒预售活动,NFT售卖首发上架Conflux生态平台MoonSwap,并同步开启质押恐龙NFT进行挖矿。
此次ConDragon首发预售第一期共1857只恐龙NFT。在2小时内完成售罄。并完成462只恐龙NFT质押,其余进入MoonSwap NFT资产交易平台挂单交易。盲盒售卖后50%的金额全部通过合约自动兑换成cMOON注入奖池,总奖池达到46900.48 cMOON。[2020/12/17 15:30:10]
二、事件分析
Nervos CKB 推出开发工具 Mandrake,可实现通过 UI 拖拽完成 dApp 开发:Nervos于近日推出开发工具Mandrake,利用Mandrake,开发者可实现通过简单的UI拖拽来完成dApp开发。MandrakeGUI编辑器的对象是一棵AnimagusAST树,可以通过拖拽进行编辑操作。AST树根包含Call节点和Stream节点两种点。
Mandrake支持跨平台使用,目前支持Web,macOS和Windows(Alphaquality)。构建AST并生成Animagus所需的ProtocolBuffers格式的文件,可供各种编程语言和框架使用。在Nervos发布的Q4Roadmap中,Nervos将在第四季度全面推进DeFi、基础设施和Layer2、开发者体验以及研究等方向。[2020/9/28]
攻击过程分析
声音 | Tim Draper:比特币将彻底改变支付和金融系统:据ambcrypto报道,美国风险投资家Tim Draper认为,2019年的趋势围绕比特币和数据展开。就像Hotmail和Skype通过摧毁坚固的边界为我们所有人打开世界一样,比特币将彻底改变支付和金融系统。智能合约等比特币衍生的技术将对保险、医疗保健和金融等行业产生巨大影响。[2019/7/6]
1.?攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。
2.?随后,将其中的509143个cake抵押至AutoCake。
3.?攻击者将剩余的1105916个cake直接打入AutoCake合约。
4.?然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。
5.?完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACEToken进行获利。
6.?归还“闪电贷”,完成整个攻击后离场。
攻击原理分析
在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。
在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”。
一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。
但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACEToken发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACEToken也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACEToken。
三、事件复盘
不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACEToken完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。
成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。