收益聚合器 Aperocket 多链闪电贷攻击的「困」与「破」

7月14日,布局在BSC和Polygon链上的收益聚合器Aperocket在不到12小时的时间内先后遭到闪电贷攻击。

据PeckShield「派盾」追踪和定位分析,虽然攻击者两次运用的攻击手法不同,但都是源于Aperocket存在的收益通胀漏洞。

在BSC链上的Aperocket遭到攻击后,其代币SPACE的价格短时下跌75%。

DeFi收益聚合器FLURRY Finance筹集300万美元:金色财经报道,DeFi收益聚合器FLURRY Finance已从风险投资公司处筹集了300万美元。新资金将用于促进FLURRY Finance、进展以及为其IDO做准备。[2021/7/21 1:06:02]

Aperocket是「Fork」此前遭到闪电贷攻击闪崩,触发一系列闪电贷攻击多米诺的PancakeBunny的收益聚合器。

用户通过质押ApeSwap的LPToken、CAKE或SPACE等代币来获得自动复合收益。

DeFi收益聚合器PancakeBunny已重新开放所有Polygon Sushi Vaults:DeFi收益聚合器PancakeBunny发推称,所有Polygon Sushi Vaults已经重新开放。

据今日早间报道,PancakeBunny发推称,其在Polygon上的版本遭外部攻击,已经暂停所有Polygon Sushi Vaults。官方称,目前Polygon vaults、BSC PancakeBunny vaults、BUNNY均安全。随后将公布详细情况。安全公司PeckShield发推表示,PancakeBunny遭遇闪电贷攻击,攻击者获利1281 WETH。

PancakeBunny披露的攻击主要步骤如下:

1. 攻击者借入大量代币;

2. 少量存入SushiSwap USDC-USDT池;

3. 直接存入获得高利息;

4. 操纵预言机来增加利息;

5. 铸造polyBUNNY。[2021/7/17 0:59:34]

在此安全事件中,攻击者质押CAKE,获得CAKE奖励和SPACE代币奖励,利用AutoCake:withdrawAll()?存在的漏洞获利。

Anchor Protocol宣布与Orion Money合作推出稳定币收益聚合器EthAnchor:Anchor Protocol 官推宣布与 Orion Money 合作推出稳定币收益聚合器 EthAnchor。[2021/6/12 23:32:46]

PeckShield「派盾」简述BSC链上的攻击过程:

首先,攻击者从PancakeSwap借出两笔闪电贷,共计161.5万枚CAKE;

BSC生态自动收益聚合器Merlin疑似遭到攻击:据Peckshield消息,BSC生态自动收益聚合器Merlin疑似遭到攻击。据悉,此次攻击似乎不是闪电贷攻击,但项目方貌似已暂时暂停了MERL代币的铸造。[2021/5/26 22:46:27]

然后将50.9万枚CAKE存入资金池,这一步有助于攻击者在后期调用AutoCake合约中的WithdrawAll()或earned()函数时,资金池会铸造SPACE代币;

由于第一次攻击者将大量CAKE质押至资金池,这快速提高了它在该资金池的持股占比,使其能够分得90%以上的AutoCake质押收益,即CAKE和SPACE;

在完成前期工作将CAKE存入资金池之后,攻击者进行了第二笔交易,将110.5万枚CAKE质押到AutoCake合约中,调用AutoCake合约中的harvest函数触发复投,相当于CAKE复利池的套娃版,质押CAKE,可以挖到CAKE,合约再把所获CAKE自动质押到CAKE资金池中。

随着合约计入的CAKE不断增长,铸造的SPACE就随之增长。

最终,攻击者返还闪电贷,获利883.5BNB。据PeckShield「派盾」统计,攻击者在Polygon上获利约100万美元。

自2021年第一季度,DeFi市场呈现出多链生态迸发的趋势,整个市场延续了2020年下半年强劲增长的势头,大多数指标都创下了历史新高。

然而,随着虚拟货币市场在第二季度后期回调,DeFi领域也或多或少受到影响。各公链在争夺流动性的同时,现有的DeFi协议也在探索和适应新兴的运营方式—多链布局。

可观的回报率有助于吸引流动性,但同时多链布局也对协议的安全性、安全响应速度提出更高要求。当安全事件发生时,不仅需要对已遭攻击的漏洞进行第一时间排查,提出安全方案,同时要在一条链上发现潜在的漏洞时,第一时间去检测另一条或多条链上的协议是否存在类似地问题,并及时预警社区,提出安全解决方案,避免关联的有价资产曝露在风险中,有利于减小已知的、可能造成的更大损失。

在经过今年上半年与攻击者的攻防战中,PeckShield「派盾」发现,建立风控熔断机制,引入第三方安全公司的态势感知情报服务,第一时间响应安全风险,及时排查封堵安全攻击,能够有效减小闪电贷攻击造成的损失。

随着多链部署的兴起,在处理安全事件时,要求协议参与方、专业的安全团队比攻击者更沉着冷静,这本就是一场时间的争夺战,攻击者不会停下来容我们反思,只有比攻击者先想一步,哪怕是一小步,都有可能成为我们在这场争夺战中取得阶段性胜利的一大步。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

MATIC金色晚报 | 7月16日晚间重要动态一览

12:00-21:00关键词:数字人民币、央行、香港证监会、张江科学城、监管1.数据:Kusama第五轮卡槽拍卖已锁定超30万KSM2.央行:数字人民币可通过智能合约实现可编程性3.香港证监会:币安旗下的任何实体均未获得发牌或注册4.

火必下载金色硬核 | 为什么媒体老攻击比特币行业?

金色财经推出金色硬核栏目,为读者提供热门项目介绍或者深度解读。毫不夸张地说,媒体对比特币很有意见。无论是大量报道热闹的数字资产热点事件,还是对比特币挖矿的意见,似乎媒体总忍不住要夸大和夸张对比特币的评论.

[0:0ms0-2:37ms