北京时间2022年6月8日晚7点左右,CertiK审计团队监测到ApolloX项目遭受黑客攻击,其代币价格骤降52.12%。
该项目于2021年12月启动,APX作为ApolloX交易所的原生代币,是币安智能链上的一个BEP-20代币。
攻击者(0x9e532b19abd155ae5ced76ca2a206a732c68f261)通过反复调用ApolloxExchangeTreasury中的函数claim(),从该合约中获得约5300万APX代币,后来被换成了210万枚BUSD。攻击者共进行了8次交易。
当日ApolloX正式宣布他们被黑客攻击,并计划通过公开回购APX和从交易所交易费中赚取的APX来弥补损失。
安全团队:MetaPoint(POT)宣布因遭黑客攻击而暂停运营:金色财经报道,据CertiK监测,MetaPoint(POT)项目在其Telegram宣布因遭到黑客攻击而暂停运营,其币价已下跌78%以上。
BSC合约地址:0x3b5e381130673f794a5cf67fbba48688386bea86[2023/4/12 13:58:13]
推特公告链接:https://twitter.com/ApolloX_com/status/1534570239177789440
攻击步骤
①攻击者调用多个合约,而这些合约又反复调用ApolloxExchangeTreasury中的claim()函数。该函数用ECDSA.recover()成功验证了输入的信息和签名,并将相应的代币金额从合约中转移到攻击者手中。
ApolloX发布攻击调查结果:黑客利用交易奖励合约漏洞积累255个签名后从提款合约提取5300万枚APX:6月9日消息,去中心化交易所ApolloX针对黑客攻击事件更新称,一名黑客利用Apollo X的交易奖励合约中的一个漏洞积累了255个签名,然后使用这些签名从提款合约中提取了5300万枚APX代币。不过,用户的资金不会受到损失,ApolloX更改了Staking合约的真实持有者。ApolloX团队还用60万美元紧急回购了12,748,585枚APX代币。损失的代币将通过交易所交易费赚取的APX来弥补。[2022/6/9 4:13:59]
②攻击者通过PancakeSwap将APX代币大量换成BUSD。
漏洞交易
攻击者利用了以下这些交易盗取了ApolloX代币:
https://bscscan.com/tx/0x21e5e6ee42906a840c07eb39fb788553a3fbb5794562825c2a1d37bfc910e5f7
Terra 生态收益聚合器 ApolloDAO 将于近期推出:据官方消息,Terra 生态收益聚合器 ApolloDAO 将于近期推出,ApolloDAO 是一个社区驱动的跨链 NFT 及包装资产收益管理平台,旨在通过 DeFi 策略为用户管理相关资产并实现更高的收益。[2021/6/1 23:00:51]
https://bscscan.com/tx/0x67a90c1af85c626460b928ccfde66432dd828b838038ef15400c577ee5386926
https://bscscan.com/tx/0xccc9e8ebf0472272b83e328a11e5aa5eb712c831dcd5bae32622dc238005aee0
https://bscscan.com/tx/0x34b29a393b68ae0f2e417485fb57ea7510a253c1b01431d04a66ca61e4fbbc8c
动态 | 比特币链上转账笔数有所回升,Xapo流出的资金再现异动:Tokenview链上数据监测,近24小时比特币链上转账总额为119.63万BTC,链上转账笔数为32.48万笔,在单笔金额超过1000 BTC的大额转账中出现了多笔此前于今年7月29日和10月22日前后由Xapo流出的比特币。挖矿数据方面,比特币近七日算力均值为90.71 EH/s,昨日全网区块总数为134个,较前日减少7个,链上转账手续费总和为27.48?BTC。[2019/12/19]
在PancakeSwap上的调换操作:
500万APX换取了246,560BUSDhttps://bscscan.com/tx/0xc2607de512e31737659b78e8b6f6cc4a82b10f3da953e901e95a0c7beea440de
700万APX换取了291,276BUSDhttps://bscscan.com/tx/0xe944b576b46402c830bf79062ba22728c55c87c73062f944f01d71d7fb707f53
700万APX换取了246,243BUSDhttps://bscscan.com/tx/0x55c45952611cdd1b1d1c168c1b0bd6198ff64c71abb67aecda8ffa4057758cc6
700万APX换取了213,971BUSDhttps://bscscan.com/tx/0x57030b6e64f81b854601abc5953837d4d7b3f2534593a1f48485fffd37630b94
700万APX换取了160,999BUSD
https://bscscan.com/tx/0xf25688d3651bbade2cb67835050678ad4ab6f15f140a162fc2c3eed1821f8ec0
700万APX换取了115,535BUSD
https://bscscan.com/tx/0xdf7e67aa67b8e56265cb05866d026015d0d6cafcefff5ba957b849df66a34284
700万APX换取了183,061BUSD
https://bscscan.com/tx/0x72c7c6b8c73d4e70905c48f7fcc6a5c4a0ba27323067e7bbf2fae8f2cf80be02
约700万APX换取了143,451BUSD
https://bscscan.com/tx/0x902ebbe7418c719032b524be101c2f3d88f8e061f85e19c5b6ab62a4b65b83c0
资产去向
①攻击者赚取了约210万BUSD,资产通过以下3个交易被转移到ZAPbridge?
0x3d141a94a914947b3cc611f3e44d81be9f3147a9afaf168c57c4b5c638b16f71
0x07e4438429c55cfc1d1b2fcb8eb10cadc579d0b16c7b78af78a26448bc8b1d28
0x25ee8fc7d26ef11bce3d546517134b125d306f00bba253a2c13e6dcdc35b64f2
②随后被转移至以太坊的地址:0x9E532b19Abd155Ae5ced76cA2a206A732c68f261
写在最后
通过审计,我们可以发现这一风险因素。
项目团队使用的是Openzeppelin3.2.0版的标准ECDSA,签名的生成在合约之外。
正常情况下,签名的中心化控制可被监测到,以“中心化风险”的审计结果呈现于审计报告中。
游戏行业规模庞大且仍在增长。全球大约有30亿人正在玩电子游戏,几乎是全球人口的一半。尽管当前大多数游戏是为15-30岁男性设计的,但毫无疑问当前游戏受到了大众的喜爱.
1900/1/1 0:00:00当朋友让你为他介绍一款理财产品你会推荐什么?是基金?股票?还是最近火爆全球的NFT?我们知道NFT利用了区块链和加密技术,在虚拟世界中令其产品变得独一无二,从而赋予产品价值.
1900/1/1 0:00:00通证化所有权和治理是我们努力创造的这个分权未来1的关键。该行业将超越简单可替代的“代币投票”,此风险在于治理通证的巨鲸持有者占据主导地位。因此,这一领域的创新将大放异彩.
1900/1/1 0:00:00请不要人类,只需要机器人。随着新冠疫情逐渐走向尾声,人们恢复了对户外活动的向往,旅行者们期待通过机器人来预定旅游,而不是人工服务.
1900/1/1 0:00:00自从Chainlink可验证随机函数去年在Polygon发布以来,已经成为了智能合约随机数生成解决方案的行业标准.
1900/1/1 0:00:00据官方消息,9月6日,波场联合储备推出的兑换工具兼汇率稳定机制PSM新增支持TUSD。 用户可以在USDD和TUSD之间进行1:1固定汇率的互换,整个兑换过程零滑点、零手续费.
1900/1/1 0:00:00