1. イベント概要

北京時間の7月14日、Lianbian-ブロックチェーンセキュリティ状況認識プラットフォーム（Beosin-Eagle Eye）の世論モニタリングにより、BSCエコロジカルDeFi収益農業アグリゲーターであるApeRocket Financeが「フラッシュローン攻撃」に遭遇したことが示されました。関連情報源によると、この攻撃では、攻撃者は ApeRocket の Apeswap の SPACE-BNB プールをターゲットにしており、そのプロジェクト トークン SPACE は 75% 以上下落しました。

成都連南セキュリティチームは最近、BSCエコロジー「フラッシュローン」攻撃事件の数々を明らかにした。ApeRocket Financeハッキング事件でも、攻撃者はManipulateを通じて「薬を変えずにスープを変える」という「フラッシュローン」攻撃原理を依然として使用していた。利益を上げるためのプロジェクト契約の「ステーキング収入」と「報酬メカニズム」。 ApeRocket Finance は、今月最初の比較的典型的なセキュリティ攻撃インシデントであることは注目に値します。すべてのプロジェクト関係者は、日々のセキュリティ監査とセキュリティ保護を適切に行うよう注意を喚起されています。

2. イベント分析

Ø 攻撃プロセス分析

1. 攻撃者はまず「フラッシュローン」を利用し、1,259,459+355,600のケーキを借りました。

2. その後、ケーキのうち 509,143 個が AutoCake に抵当に入れられます (Aperocket の戦略契約に相当)。

3. 攻撃者は、残りの 1,105,916 個のケーキを AutoCake コントラクトに直接入れます。

4. 次に、攻撃者は AutoCake でハーベストを呼び出して再投資をトリガーし、ステップ 3 で Autocake に入れられたケーキに投資します。

5. 上記の攻撃手順を完了した後、攻撃者は AutoCake の getReward を呼び出して手順 2 で住宅ローンの利益を決済し、報酬メカニズムをトリガーして利益のために大量の SPACE トークンを鋳造します。

6.「フラッシュローン」を返却し、すべての攻撃を完了したら出発します。

Ø 攻撃原理の分析

l この攻撃では、攻撃者はまず AutoCake で多額の Cake を抵当に入れ、これにより彼の株式保有比率が非常に高くなり、AutoCake での担保収入のほぼすべてを共有できるようになりました。

l ステップ 3 では、攻撃者は AutoCake コントラクトに大量のケーキを直接注入します。これは、ケーキのこの部分が AutoCake コントラクトに担保されていないためであり、コントラクト自体のロジックによれば、それは「報酬」とみなされます。 「（住宅ローンケーキ、ご褒美もケーキ）」

l 繰り返しになりますが、AutoCake に直接入力されたケーキのほとんどは、最終的に攻撃者の手に渡ります。

l しかし、一方で、getReward オペレーションを実行すると、関数は SPACE トークンを鋳造し、ステーキングによって得られた報酬の量に応じて追加の報酬としてユーザーに発行します。通常であれば、ステーキング報酬が少ないため、鋳造されるSPACEトークンの数は非常に少ないですが、攻撃者の上記の操作により、大量のSPACEトークンが鋳造されました。

3. イベントの振り返り

これが利益を得るために「フラッシュ ローン」を利用した典型的な攻撃であることは明らかです。重要な点は、AutoCake コントラクト独自のロジックの「報酬メカニズム」であり、最終的に攻撃者は大量の SPACE トークンを鋳造することになりました。利益を完了するために。同時に、これは今月初の典型的な「フラッシュローン」攻撃でもあり、注目に値する。

成都連南セキュリティチームは、DeFiエコシステムで「フラッシュローン」の人気が高まるにつれ、暗闇に潜む攻撃者もいつでも「フラッシュローン」を利用して攻撃を仕掛ける用意ができていると示唆した。したがって、DeFiエコシステムのすべてのプロジェクト関係者は依然として「フラッシュローン攻撃」の脅威に特別な注意を払い、サードパーティのセキュリティ会社と積極的に協力して、完全で専門的なセキュリティ保護メカニズムを構築する必要があります。