鸵鸟区块链

SharkTeam独家分析 | 闪电贷攻击:ApeRocket被攻击事件分析

SharkTeam 2021-07-15 17:20
摘要:

闪电贷攻击:ApeRocket被攻击事件分析

北京时间2021年7月14日,BSC和Polygon上DeFi项目ApeRocket Finance遭到闪电贷攻击,损失共计126万美金,项目代币SPACE下跌逾75%。

图片1.png

SharkTeam第一时间对此事件进行了分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、 事件分析

(1)以BSC上的攻击交易为例,攻击者首先从Biswap和Pancake上分别通过闪电贷借取355K和1.25M的Cake,共计约1.6M CAKE。

图片2.png

(2)攻击者将509K的CAKE存入投入AutoCake金库合约中进行流动性挖矿,占比此金库合约总资金量的99.5%。

图片3.png

(3)将剩下的1.1M的CAKE同样转入此AutoCake金库合约。

图片4.png

(4)调用harvest函数进行收益耕作

(5)调用getReward函数并获得SPACE奖励

(6)归还闪电贷并获利。

图片9.png

此次攻击事件发生的根本原因在于:

在调用getReward函数时,会出发_harvest函数,在此函数中使用了当前AutoCake金库合约中的CAKE余额,并在MASTCHEF合约中中进行奖励计算,导致SPACE奖励计算错误。

图片10.png

二、安全建议

此次事件是又一次与闪电贷有关的安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到31起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种,本次属于基于利用“技术漏洞”进行攻击。

图片11.png

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

图片12.png

==

和2万人一起加入鸵鸟社群

添加QQ群:645991580

添加TG群:鸵鸟中文社区 https://t.me/tuoniaox

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章作者以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不尊重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

SharkTeam

——

45 篇 作品