收益聚合器 Aperocket 多链闪电贷攻击的「困」与「破」

7 月 14 日,布局在 BSC 和 Polygon 链上的收益聚合器 Aperocket 在不到 12 小时的时间内先后遭到闪电贷攻击。

据 PeckShield「派盾」追踪和定位分析,虽然攻击者两次运用的攻击手法不同,但都是源于 Aperocket 存在的收益通胀漏洞。

在 BSC 链上的 Aperocket 遭到攻击后,其代币 SPACE 的价格短时下跌 75%。

Aperocket 是「Fork」此前遭到闪电贷攻击闪崩,触发一系列闪电贷攻击多米诺的 PancakeBunny 的收益聚合器。

用户通过质押 ApeSwap 的 LP Token、CAKE 或 SPACE 等代币来获得自动复合收益。

Matter Labs质疑ZKSwap的用户资金安全问题:2月24日消息,以太坊二层扩容解决方案开发团队Matter Labs发推质疑基于ZK Rollup扩容技术的AMM去中心化交易所ZKSwap,称ZKSwap克隆zksync的代码,甚至懒得从Etherscan上的合约代码中删除Matter Labs的作者身份,也没有发布更改,Matter Labs表示担心ZKSwap的用户资金的安全。“将AMM功能正确地添加到我们的代码中是非常不平凡的,并且需要在ZKP有很强的能力。它还需要由经验丰富的密码学家进行非常彻底的安全审计(不仅仅是你发布的文章中提到的静态代码分析)。你会对自己的用户如此友好以至于开放你的合约和环路(Circuit)的完整源代码吗?”[2021/2/24 17:47:22]

灰度创始人:灰度接受基金资产将达到1000亿美元的挑战:彭博资深ETF分析师Eric Balchunas在推特发起调查称:“你认为其中哪几家公司的基金资产会达到1000亿美元?”结果显示,47.4%投票认为灰度的资产将达到1000亿美元。Eric Balchunas还表示,灰度需要美国证券交易委员会(SEC)继续否认比特币ETF,如果SEC允许GBTC在ETF获批的同时转换为ETF,他们可能会进行清盘。灰度创始人、前首席执行官Barry Silbert则在推特回应称:“灰度接受挑战。”[2021/1/19 16:28:22]

在此安全事件中,攻击者质押 CAKE,获得 CAKE 奖励和 SPACE 代币奖励(Aperocket 的额外奖励),利用 AutoCake:withdrawAll() 存在的漏洞获利。

PeckShield「派盾」简述 BSC 链上的攻击过程:

首先,攻击者从 PancakeSwap 借出两笔闪电贷,共计 161.5 万枚 CAKE;

然后将 50.9 万枚 CAKE 存入资金池,这一步有助于攻击者在后期调用 AutoCake 合约中的 WithdrawAll() 或 earned() 函数时,资金池会铸造 SPACE 代币;

由于第一次攻击者将大量 CAKE 质押至资金池,这快速提高了它在该资金池的持股占比,使其能够分得 90% 以上的 AutoCake 质押收益,即 CAKE 和 SPACE;

在完成前期工作将 CAKE 存入资金池之后,攻击者进行了第二笔交易,将 110.5 万枚 CAKE 质押到 AutoCake 合约中,调用 AutoCake 合约中的 harvest 函数触发复投,相当于 CAKE 复利池的套娃版,质押 CAKE,可以挖到 CAKE,合约再把所获 CAKE 自动质押到 CAKE 资金池中。

随着合约计入的 CAKE 不断增长,铸造的 SPACE 就随之增长。

最终,攻击者返还闪电贷,获利 883.5 BNB(合约 27.3 万美元)。据 PeckShield「派盾」统计,攻击者在 Polygon 上获利约 100 万美元。

自 2021 年第一季度,DeFi 市场呈现出多链生态迸发的趋势,整个市场延续了 2020 年下半年强劲增长的势头,大多数指标都创下了历史新高。

然而,随着虚拟货币市场在第二季度后期回调,DeFi 领域也或多或少受到影响。各公链在争夺流动性的同时,现有的 DeFi 协议也在探索和适应新兴的运营方式—多链布局。

可观的回报率有助于吸引流动性,但同时多链布局也对协议的安全性、安全响应速度提出更高要求。当安全事件发生时,不仅需要对已遭攻击的漏洞进行第一时间排查,提出安全方案,同时要在一条链上发现潜在的漏洞时,第一时间去检测另一条或多条链上的协议是否存在类似地问题,并及时预警社区,提出安全解决方案,避免关联的有价资产曝露在风险中,有利于减小已知的、可能造成的更大损失。

在经过今年上半年与攻击者的攻防战中,PeckShield「派盾」发现,建立风控熔断机制,引入第三方安全公司的态势感知情报服务,第一时间响应安全风险,及时排查封堵安全攻击,能够有效减小闪电贷攻击造成的损失。

随着多链部署的兴起,在处理安全事件时,要求协议参与方、专业的安全团队比攻击者更沉着冷静,这本就是一场时间的争夺战,攻击者不会停下来容我们反思,只有比攻击者先想一步,哪怕是一小步,都有可能成为我们在这场争夺战中取得阶段性胜利的一大步。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块分享

SAND金色早报 | V神将参与以太坊相关新纪录片

头条 ▌V神将参与以太坊相关新纪录片 金色财经报道,电影制作公司Optimist正在制作第一部关于以太坊的长篇纪录片,名为《以太坊:无限花园》。该纪录片正试图通过加密众筹网站Mirror筹集 750 ETH。该片将采访参与世界计算机开发的各种人士,包括以太坊共同创造者V神和以太坊基金会执行董事Aya Miyaguchi。

DAIIPFS开始之前的历史与分水岭时刻的Filecoin

1999 年,Napster通过提供无限的免费音乐席卷全球,唱片公司还没有转向新的商业模式。用户可以自由共享媒体文件,因为Napster的点对点网络消除了这样做的障碍。 接下来是P2P 技术的伟大创新时期。令人兴奋的想法和公司不断涌现:Gnutella、Kazaa、MojoNation、BitTorrent、Skype 等等。

UNI不只有EIP-1559 以太坊伦敦升级还有这些提案需要关注

没有人比 Tim Beiko 更了解以太坊网络升级。作为以太坊基金会的一名开发人员,Beiko 负责主持核心开发人员会议,并在即将到来的伦敦硬分叉中发挥作用。 以太坊伦敦升级预计将于 8 月 4 日上线,这是一项重要的网络升级,其中包括五个以太坊改进提案 (EIP),这些提案是对代码的更改,必须由利益相关者达成共识。

[0:15ms0-0:515ms