CAKE:BSC生态又一起“闪电贷攻击”再现 | ApeRocket Finance被黑事件简析 -ODAILY

一、事件概览

北京时间7月14日，链必安-区块链安全态势感知平台舆情监测显示，BSC生态DeFi收益耕种聚合器ApeRocketFinance遭遇“闪电贷攻击”。据相关消息指出，此次攻击事件中，攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池，其项目代币SPACE已下跌逾75%。

成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件，在ApeRocketFinance被黑事件中，攻击者依然利用了“闪电贷”的攻击原理，“换汤不换药”，通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是，ApeRocketFinance是本月首起较为典型的安全攻击事件，在此提醒各项目方做好日常安全审计和安全防护工作。

BTT加入BSC生态:据最新消息，BTT加入BSC生态，开启万链互联战略布局。

BitTorrent Chain 是异构链跨链互操作扩容协议，采用 POS（Proof of Stake）共识机制 ，通过侧链进行智能合约的扩展。首发支持 Ethereum 、TRON 、BSC 公链跨链，未来将逐步支持更多公链。[2022/2/7 9:35:40]

二、事件分析

?攻击过程分析

区块链项目Massa完成500万欧元融资，ZBSCapital等参投:11月11日消息，区块链项目Massa宣布完成500万欧元融资，本轮融资由BlueYard、Acecap、Numeus、CharlieSonghurst、Dascof、Mediapps、ArianeCapital、AnduranceVentures、AussieCapital、ZBSCapital、Bpifrance参投。据悉，Massa测试网于7月17日上线，目前处于第三阶段，开发者正着手研发其智能合约功能。[2021/11/11 6:46:25]

1.攻击者首先利用了“闪电贷”，借取了1259459+355600个cake。

WeStarter（BSC链）将于9月7日上线Phantom Protocol兑换:据官方消息，WeStarter将于新加坡时间9月7日20:00上线 Phantom Protocol兑换（代币PHM），白名单池兑换额度共6,000,000枚PHM等值3万USDT；公开兑换池兑换额度共4,000,000枚PHM等值2万USDT，均采用USDT进行兑换。

据悉，Phantom Protocol 是“DeFi+NFT”解决方案，支持合成资产创建及 NFT 发行的跨链 DeFi 协议。Phantom 由 Conflux 孵化，LD Capital、NGC Ventures、Kyros Ventures、Gate Labs、DFG、MXC 等投资。[2021/9/2 22:54:24]

BSC生态项目PancakeHunny 遭遇黑客攻击 黑客获利 43 ETH:据PeckShield派盾追踪分析，PancakeBunny的仿盘PancakeHunny遭到黑客攻击，黑客获利43ETH（合计10余万美元）。[2021/6/3 23:07:40]

2.随后，将其中的509143个cake抵押至AutoCake。

3.攻击者将剩余的1105916个cake直接打入AutoCake合约。

4.然后攻击者再调用AutoCake中的harvest触发复投，将步骤3中打入Autocake的cake进行投资。

5.完成上述攻击步骤后，攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利，随即触发奖励机制铸币大量的SPACEToken进行获利。

6.归还“闪电贷”，完成整个攻击后离场。

?攻击原理分析

l在此次攻击事件中，攻击者首先在AutoCake中抵押了大量Cake，这使得其持股占比非常之高，从而能够分得AutoCake中几乎全部的质押收益。

l在步骤3中，攻击者直接向AutoCake合约中打入大量cake，这部分cake因并没有通过抵押的方式打入AutoCake合约；根据合约自身逻辑，将会被当作“奖励”。

l一来一回，直接打入AutoCake中的cake大部分最终也会结算给攻击者。

l但另一方面，在进行getReward操作时，函数会根据质押而获得奖励的数量来铸币SPACEToken发放给用户，做为另外的奖励。在正常情况下，质押奖励较少，因此铸币的SPACEToken也会很少；但由于攻击者上述的操作，便导致铸出了大量的SPACEToken。

三、事件复盘

不难看出，这是一次典型的利用“闪电贷”而完成获利的攻击事件，其关键点在于AutoCake合约自身逻辑的“奖励机制”，最终导致攻击者铸出了大量的SPACEToken完成获利。同时，这也是本月首起典型的“闪电贷”攻击事件，值得引起注意。

成都链安·安全团队建议，随着“闪电贷”在DeFi生态越来越受青睐，潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此，DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁，与第三方安全公司积极联动，构建起一套完善而专业的安全防护机制。

标签：CAKETOCAUTOUTOCAKEGIRLDAFI ProtocolAutoFarmAutoglyphs

火星币热门资讯