木星链 木星链
Ctrl+D收藏木星链
首页 > 火必APP > 正文

CAKE:收益聚合器 Aperocket 多链闪电贷攻击的「困」与「破」

作者:

时间:1900/1/1 0:00:00

7 月 14 日,布局在 BSC 和 Polygon 链上的收益聚合器 Aperocket 在不到 12 小时的时间内先后遭到闪电贷攻击。

据 PeckShield「派盾」追踪和定位分析,虽然攻击者两次运用的攻击手法不同,但都是源于 Aperocket 存在的收益通胀漏洞。

在 BSC 链上的 Aperocket 遭到攻击后,其代币 SPACE 的价格短时下跌 75%。

DeFi收益聚合器Autofarm完成500万美元私募融资:1月16日消息,DeFi收益聚合器Autofarm宣布完成500万美元私募融资,但未披露融资细节。该轮融资旨在将高级人工智能(AI)和机器学习(ML)技术集成到Autofarm,使Autofarm能够动态分析现实世界的数据,识别盈利机会,并为跨多个区块链网络的最佳资产分配做出自主决策。[2023/1/16 11:14:13]

Aperocket 是「Fork」此前遭到闪电贷攻击闪崩,触发一系列闪电贷攻击多米诺的 PancakeBunny 的收益聚合器。

用户通过质押 ApeSwap 的 LP Token、CAKE 或 SPACE 等代币来获得自动复合收益。

收益聚合协议Harvest Finance上线Arbitrum:5月20日消息,收益聚合协议Harvest Finance上线Arbitrum,可以通过Dolomite在Harvest.dolomite.io上提供的界面开始在Arbitrum上使用该协议。Harvest计划于第三季度推出原生集成Arbitrum的DApp,用户无需将通过Dolomite子域名部署的资产进行迁移。[2022/5/20 3:30:40]

BSC收益聚合器Eleven Finance公布补偿计划:官方消息,BSC收益聚合器Eleven Finance公布补偿计划。据悉,Eleven Finance在6月23日遭遇黑客攻击,损失480万美元。项目方决定:1、短期补偿方案:先向受害者赔偿损失的25%,大约120万美元。资金来自赔偿基金(51.2万美元)以及团队借款68.8万美元。按照目前情况,团队需要1年多的时间才能清偿债务。2、长期方案:剩下的360万美元将通过多种方式筹集。包括团队将创建“恢复保管库”(RV),不断累积Eleven Finance代币ELE,直到完全达到补偿为止。同时铸造360 万个“11RV”代币,所有的11RV 代币都将被抵押在保险库中,然后根据按比例分配给每个受影响的用户。[2021/7/4 0:26:14]

在此安全事件中,攻击者质押 CAKE,获得 CAKE 奖励和 SPACE 代币奖励(Aperocket 的额外奖励),利用 AutoCake:withdrawAll() 存在的漏洞获利。

Solana生态收益聚合器SolFarm推出TULIP-USDC Fusion池:官方消息,Solana生态收益聚合器SolFarm宣布,推出TULIP-USDC Fusion池,将于6月7日20:00开放该池。Raydium通知SolFarm表示,现有的免许可池将升级为官方列出的池,因此不需要已经LP-ing的用户迁移。该矿池将在6个月内以指数衰减曲线释放约150,000枚TULIP(1.5%)。[2021/6/7 23:17:30]

PeckShield「派盾」简述 BSC 链上的攻击过程:

首先,攻击者从 PancakeSwap 借出两笔闪电贷,共计 161.5 万枚 CAKE;

然后将 50.9 万枚 CAKE 存入资金池,这一步有助于攻击者在后期调用 AutoCake 合约中的 WithdrawAll() 或 earned() 函数时,资金池会铸造 SPACE 代币;

由于第一次攻击者将大量 CAKE 质押至资金池,这快速提高了它在该资金池的持股占比,使其能够分得 90% 以上的 AutoCake 质押收益,即 CAKE 和 SPACE;

在完成前期工作将 CAKE 存入资金池之后,攻击者进行了第二笔交易,将 110.5 万枚 CAKE 质押到 AutoCake 合约中,调用 AutoCake 合约中的 harvest 函数触发复投,相当于 CAKE 复利池的套娃版,质押 CAKE,可以挖到 CAKE,合约再把所获 CAKE 自动质押到 CAKE 资金池中。

随着合约计入的 CAKE 不断增长,铸造的 SPACE 就随之增长。

最终,攻击者返还闪电贷,获利 883.5 BNB(合约 27.3 万美元)。据 PeckShield「派盾」统计,攻击者在 Polygon 上获利约 100 万美元。

自 2021 年第一季度,DeFi 市场呈现出多链生态迸发的趋势,整个市场延续了 2020 年下半年强劲增长的势头,大多数指标都创下了历史新高。

然而,随着虚拟货币市场在第二季度后期回调,DeFi 领域也或多或少受到影响。各公链在争夺流动性的同时,现有的 DeFi 协议也在探索和适应新兴的运营方式—多链布局。

可观的回报率有助于吸引流动性,但同时多链布局也对协议的安全性、安全响应速度提出更高要求。当安全事件发生时,不仅需要对已遭攻击的漏洞进行第一时间排查,提出安全方案,同时要在一条链上发现潜在的漏洞时,第一时间去检测另一条或多条链上的协议是否存在类似地问题,并及时预警社区,提出安全解决方案,避免关联的有价资产曝露在风险中,有利于减小已知的、可能造成的更大损失。

在经过今年上半年与攻击者的攻防战中,PeckShield「派盾」发现,建立风控熔断机制,引入第三方安全公司的态势感知情报服务,第一时间响应安全风险,及时排查封堵安全攻击,能够有效减小闪电贷攻击造成的损失。

随着多链部署的兴起,在处理安全事件时,要求协议参与方、专业的安全团队比攻击者更沉着冷静,这本就是一场时间的争夺战,攻击者不会停下来容我们反思,只有比攻击者先想一步,哪怕是一小步,都有可能成为我们在这场争夺战中取得阶段性胜利的一大步。

标签:CAKEAUTOUTOANCSwancake TokenautoparkAutomated Income MachineTardigrades Finance

火必APP热门资讯
区块链:区块链写入最高法诉讼规则 腾讯、阿里入场诉源治理

虽然多地法院在近几年中多次采用了区块链存证平台提供的证据,但并不意味着所有的存证只要上链就能得到认可。由于具有“不可篡改”的特性,区块链在注重证据的司法领域,成为最有前途的高新科技应用.

1900/1/1 0:00:00
ETH:以太坊基金会:预计于8月3日激活以太坊主网伦敦升级

在测试网部署成功后,伦敦升级现在已经准备好在以太坊主网上激活。此次升级将在区块高度  12,965,000 上线,预计时间在 2021 年 8 月 3-5 日.

1900/1/1 0:00:00
加密货币: 数字货币如何改变金融

上周,Twitter首席执行官Jack Dorsey宣布,他同时经营的金融公司Square将推出一个新的平台,将使用比特币创建去中心化金融项目.

1900/1/1 0:00:00
区块链:金色趋势丨波动率降至低位 大波动即将到来

这轮312瀑布低点启动的行情,到目前已经持续了486天,走势整体震荡向上,一直见目前顶64850美金然后迎来了大调整,调整最大幅度接近56%,和以前牛市进程中的大调整相比属于正常范围.

1900/1/1 0:00:00
NFT:调查:自2018年以来 持有比特币的美国投资者数量增加了两倍

最近的一项调查显示,在过去三年里,比特币在美国年轻投资者中的认知度、兴趣和持有率都有所提高。全球分析和咨询公司盖洛普(Gallup)开展的这项研究显示,美国持有比特币的投资者数量从2018年的2.

1900/1/1 0:00:00
以太坊:以太坊的价值发现之旅

比特币和以太坊是我在文章中矢志不渝、大力推荐的两个品种。而且越到现在我越倾向于将投资重点放到以太坊(当然比特币也是必要的).

1900/1/1 0:00:00