7 月 14 日,布局在 BSC 和 Polygon 链上的收益聚合器 Aperocket 在不到 12 小时的时刻内先后遭到闪电贷进犯。

据 PeckShield「派盾」追踪和定位分析,尽管进犯者两次运用的进犯手法不同,但都是源于 Aperocket 存在的收益通胀缝隙。

在 BSC 链上的 Aperocket 遭到进犯后,其代币 SPACE 的价格短时跌落 75%。

收益聚合器 Aperocket 多链闪电贷攻击的「困」与「破」

Aperocket 是「Fork」此前遭到闪电贷进犯闪崩,触发一系列闪电贷进犯多米诺的 PancakeBunny 的收益聚合器。

用户通过质押 ApeSwap 的 LP Token、CAKE 或 SPACE 等代币来获得主动复合收益。

收益聚合器 Aperocket 多链闪电贷攻击的「困」与「破」

在此安全事情中,进犯者质押 CAKE,获得 CAKE 奖励和 SPACE 代币奖励(Aperocket 的额定奖励),使用 AutoCake:withdrawAll() 存在的缝隙获利。

PeckShield「派盾」简述 BSC 链上的进犯进程:

首要,进犯者从 PancakeSwap 借出两笔闪电贷,共计 161.5 万枚 CAKE;

收益聚合器 Aperocket 多链闪电贷攻击的「困」与「破」

然后将 50.9 万枚 CAKE 存入资金池,这一步有助于进犯者在后期调用 AutoCake 合约中的 WithdrawAll() 或 earned() 函数时,资金池会铸造 SPACE 代币;

因为第一次进犯者将很多 CAKE 质押至资金池,这快速提高了它在该资金池的持股占比,使其能够分得 90% 以上的 AutoCake 质押收益,即 CAKE 和 SPACE;

收益聚合器 Aperocket 多链闪电贷攻击的「困」与「破」

在完结前期工作将 CAKE 存入资金池之后,进犯者进行了第二笔买卖,将 110.5 万枚 CAKE 质押到 AutoCake 合约中,调用 AutoCake 合约中的 harvest 函数触发复投,相当于 CAKE 复利池的套娃版,质押 CAKE,可以挖到 CAKE,合约再把所获 CAKE 主动质押到 CAKE 资金池中。

随着合约计入的 CAKE 不断增加,铸造的 SPACE 就随之增加。

最终,进犯者返还闪电贷,获利 883.5 BNB(合约 27.3 万美元)。据 PeckShield「派盾」计算,进犯者在 Polygon 上获利约 100 万美元。

自 2021 年第一季度,DeFi 商场呈现出多链生态爆发的趋势,整个商场连续了 2020 年下半年强劲增加的气势,大多数指标都创下了前史新高。

然而,随着虚拟货币商场在第二季度后期回调,DeFi 范畴也或多或少受到影响。各公链在争夺流动性的一起,现有的 DeFi 协议也在探索和适应新兴的运营方式—多链布局。

可观的回报率有助于吸引流动性,但一起多链布局也对协议的安全性、安全响应速度提出更高要求。当安全事情发生时,不仅需要对已遭进犯的缝隙进行第一时刻排查,提出安全方案,一起要在一条链上发现潜在的缝隙时,第一时刻去检测另一条或多条链上的协议是否存在类似地问题,并及时预警社区,提出安全解决方案,避免相关的有价资产曝露在危险中,有利于减小已知的、或许形成的更大丢失。

在通过今年上半年与进犯者的攻防战中,PeckShield「派盾」发现,树立风控熔断机制,引入第三方安全公司的态势感知情报服务,第一时刻响应安全危险,及时排查封堵安全进犯,能够有效减小闪电贷进犯形成的丢失。

随着多链部署的兴起,在处理安全事情时,要求协议参加方、专业的安全团队比进犯者更沉着冷静,这本就是一场时刻的争夺战,进犯者不会停下来容咱们反思,只有比进犯者先想一步,哪怕是一小步,都有或许成为咱们在这场争夺战中获得阶段性成功的一大步。

视野开拓

P61 处理文化信息的长期意义在于,非正规约束在制度的渐进的演进方式中起重要作用,因此是路线依赖型的来源。但是我们确实了解,文化信念具有极大的生存能力,且大多数文化变迁是渐进式的。同样重要的事实是,从文化衍生的非正规约束不会立即对正规规则的变迁作迅速反应。其结果,改变了正规规则和继承的非正规约束之间的墨彩导致的结果,在经济变迁方式中具有重要意义。 P64 规则的制定是为了私人福利而不是社会福利, 这至少对那些最优秀的部分来说正是如此。规则是从自立派生出来的。-《制度、制度变迁与经济绩效》

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注