分析Aperocket(收益聚合器)遭受攻击困境与解决办法

释放双眼,带上耳机,听听看~!

随着多链部署的兴起,在处理安全事件时,协议参与者和专业安全团队需要比攻击者更冷静。

7月14日,位于BSC和Polygon链上的收入聚合器Aperocket在不到12个小时内遭到闪电贷款的攻击。

据 PeckShield「派盾」追踪和定位分析,虽然攻击者两次运用的攻击手法不同,但都是源于 Aperocket 存在的收益通胀漏洞。

BSC链上的一个锁被攻击后,其令牌空间的价格短期内下跌了75%。

PeckShield:简析收益聚合器 Aperocket 遭攻击的「困」与「破」

Aperocket是Pancake Bunny的收入聚合器,它引发了一系列针对Domino的闪贷攻击。

用户可以通过质押Apeswap的LP代币、蛋糕或空间获得自动复合收益。

PeckShield:简析收益聚合器 Aperocket 遭攻击的「困」与「破」

在这个安全事件中,攻击者承诺蛋糕,获得蛋糕奖励和空间令牌奖励(aperocket的额外奖励),并利用autocake:deculll()的漏洞获利。

Peckshield描述了对BSC链的攻击过程

首先,攻击者从pancakeswap借了两笔闪贷,共计161.5万个蛋糕;

PeckShield:简析收益聚合器 Aperocket 遭攻击的「困」与「破」

然后,509000个蛋糕存入资金池,这有助于攻击者在以后调用autocake contract中的drawCall()或revenued()函数时释放空间令牌;

攻击者首次将大量蛋糕质押给基金池,迅速提高了其在基金池中的持股比例,使其能够分享90%以上的自动质押收益,即蛋糕和空间;

PeckShield:简析收益聚合器 Aperocket 遭攻击的「困」与「破」

在完成前期工作,将蛋糕存入资金池后,攻击者进行第二笔交易,将100万10.5万蛋糕质押给自动取款合同,调用自动取款合同的收获功能触发重复投资,相当于蛋糕版的蛋糕复利池,认捐蛋糕,可以挖蛋糕,然后将蛋糕自动承包给蛋糕资金池。

随着合同中蛋糕数量的增加,铸造空间也会相应增加。

最终,攻击者归还了闪电贷款,并获利8835亿英镑(合同金额27.3万美元)。据peckshield说,攻击者在polygon上赚了大约100万美元。

自2021年第一季度以来,DeFi市场呈现多链生态爆发的趋势。整个市场延续了2020年下半年强劲增长的势头,大部分指标再创新高。

然而,随着虚拟货币市场在第二季度末的回落,DeFi领域或多或少受到了影响。在公链争夺流动性的同时,现有的DeFi协议也在探索和适应新兴的多链布局运营模式。

可观的收益率有助于吸引流动性,但同时,多链布局也对协议的安全性和安全响应速度提出了更高的要求。当安全事件发生时,不仅要对第一时间受到攻击的漏洞进行调查,提出安全方案,而且要在一条链中发现潜在的漏洞时,检测另一条或多条链的协议中是否存在类似的问题,并及时向社会发出警示,提出安全解决方案,避免相关有价值资产暴露于风险之中,有助于减少已知和可能造成的较大损失。

在今年上半年与攻击者的攻防战中,peckshield发现,通过建立风险控制和融合机制,引入第三方安全公司的态势感知情报服务,可以有效降低闪电贷款攻击造成的损失,第一时间应对安全风险,及时查封安全攻击。

随着多链部署的兴起,在处理安全事件时,协议参与者和专业安全团队需要比攻击者更冷静。这是一场时间之战。攻击者不会停下来让我们反思。只有先于进攻方一步,哪怕是一小步,我们才能在这场战斗中取得胜利。

为TA充电
共{{data.count}}人
人已赞赏
头条资讯

USDT的开始和结束(2):发行20亿美元只需3分钟?

2021-7-19 13:55:26

头条资讯

争议|熊市市场机构坚持“抄底”,散户顺势追空

2021-7-19 14:03:19

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索