一、事件概览
北京时间7月14日,链必安-区块链安全态势感知平台舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocketFinance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。
成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocketFinance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocketFinance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。
.bnb域名服务已集成BscScan:金色财经报道,去中心化域名协议SPACEID的.bnb域名服务已集成BNB Chain上区块链浏览器和分析平台BscScan,集成后的功能包括:使用.bnb域名搜索链上交易数据、在BscScan上显示人类可读的.bnb域名而不是传统地址、.bnb域名服务查找页面、.bnb域详细信息页面、在BscScan交易信息页面上显示.bnb域交易详细信息、为每个.bnb域提供相关图表等。[2023/1/31 11:38:12]
1inch已集成BSC上去中心化交易所Uranium Finance:4月27日消息,DEX聚合器1inch已集成BSC上低交易费去中心化交易所Uranium Finance。[2021/4/27 21:03:14]
二、事件分析
?攻击过程分析
1.攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。
2.随后,将其中的509143个cake抵押至AutoCake。
MDEX (BSC版)新增流动性挖矿名单:MDEX.COM将于4月15日 18:00(UTC+8)在每区块挖矿总奖励不变的情况下,新增流动性挖矿名单。新增流动性挖矿名单如下:BCH/WBNB, DOT/WBNB, BETH/WBNB, FIL/WBNB, ADA/WBNB, XRP/WBNB, LTC/WBNB, SXP/WBNB, LINK/WBNB, EOS/WBNB, UNI/WBNB。流动性挖矿权重调整细节,具体以官网展示页面为准。DAO管理开启后,权重调整方案将交由社区投票决定。详情请见公告链接。[2021/4/15 20:22:35]
TrustBase自主研发波卡智能合约编程语言SubScript:据官方消息,TrustBase基于波卡智能合约独立开发编程语言SubScript,用于优化波卡生态中的开发体验。Subscript是一个用于Polkadot Wasm智能合约的编程语言,可以提供WebAssembly原生的的智能合约编程环境和IDE支持。相对于当前Parity官方维护的ink!语言,Subscript无需rust编程基础,任何具备web开发基础的DApp开发者都可以快速上手Subscript语言。Subscript此前已获得Web3基金会的官方资助。
TrustBase是一个支持跨链消息的波卡Wasm智能合约平行链,为开发者提供了方便易用的合约语言及编程工具,DApp开发者不需要拍卖波卡中继链插槽,就可以访问波卡的XCMP跨链消息。[2020/12/19 15:46:32]
3.攻击者将剩余的1105916个cake直接打入AutoCake合约。
4.然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。
5.完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACEToken进行获利。
6.归还“闪电贷”,完成整个攻击后离场。
?攻击原理分析
l在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。
l在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”。
l一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。
l但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACEToken发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACEToken也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACEToken。
三、事件复盘
不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACEToken完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。
成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。
标签:BNBCAKEBSCTOCbnb局gas费BONUSCAKEMario Inu BSCRepublic Protocol
9月7日,Cointelegraph中文举办线上访谈对话栏目HUB,本期主题为《PolkaFantasy是如何通过GameFi构建跨链NFT市场的》.
1900/1/1 0:00:00加入PolkaWorld社区,共建Web3.0! Statemint/Statemine是波卡/Kusama生态的公共利益平行链,用于创建和管理资产,包括同质化资产和NFT.
1900/1/1 0:00:00链集市·让区块链落地更简单 《区块链行业观察》专栏·第36篇作者丨NajouaElommal,RiadhManita图片丨来源于网络编者注:原报告来自NajouaElommal、RiadhMan.
1900/1/1 0:00:00打开社交媒体,搜索区块链6月关键字,搜索结果中充斥着“过山车”、“大跳水”等字眼。的确,6月的行情震荡给整个加密货币市场带来了不小的影响,尤其是NFT领域.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品波卡一周观察,是我们针对波卡整个生态在上一周所发生的事情的一个梳理,同时也会以白话的形式分享一些我们对这些事件的观察.
1900/1/1 0:00:0030年前,科幻小说家尼尔·史蒂芬森在自己的小说《雪崩》中首次提出了“元宇宙”概念,在他的最初设想中“通过数字替身,人们可以在一个虚拟三维空间中生活,在这个虚拟世界里.
1900/1/1 0:00:00