1. 이벤트 개요

베이징 시간으로 7월 14일, Lianbian-Blockchain Security Situational Awareness Platform(Beosin-Eagle Eye)의 여론 모니터링에서 BSC 생태 DeFi 수익 농업 집계자인 ApeRocket Finance가 "플래시 론 공격"에 직면한 것으로 나타났습니다. 관련 소식통에 따르면 이번 공격에서 공격자는 ApeRocket의 Apeswap의 SPACE-BNB 풀을 표적으로 삼았고 프로젝트 토큰 SPACE는 75% 이상 하락했습니다.

Chengdu Lianan Security Team은 최근 BSC 생태 "플래시 론" 공격 사건을 다수 공개했습니다. ApeRocket Finance 해킹 사건에서 공격자는 조작을 통해 "약을 바꾸지 않고 수프를 바꾸는" "플래시 론" 공격 원칙을 여전히 사용했습니다. 수익을 창출하는 프로젝트 계약의 "스테이킹 수입" 및 "보상 메커니즘". ApeRocket Finance는 이번 달 첫 번째 상대적으로 일반적인 보안 공격 사건이며 모든 프로젝트 당사자는 매일 보안 감사 및 보안 보호를 잘 수행해야 합니다.

2. 이벤트 분석

Ø 공격 프로세스 분석

1. 공격자는 먼저 "플래시론"을 이용하여 1,259,459+355,600개의 케이크를 빌렸습니다.

2. 결과적으로 509,143개의 케이크가 AutoCake에 저당 잡힙니다(Aperocket의 전략 계약과 동일).

3. 공격자는 나머지 1,105,916개의 케이크를 AutoCake 계약에 직접 넣습니다.

4. 그런 다음 공격자는 AutoCake에서 수확을 호출하여 재투자를 트리거하고 3단계에서 AutoCake에 넣은 케이크에 투자합니다.

5. 위의 공격 단계를 완료한 후 공격자는 AutoCake에서 getReward를 호출하여 2단계에서 모기지 수익을 정산한 다음 보상 메커니즘을 트리거하여 수익을 위해 대량의 SPACE 토큰을 발행합니다.

6. "플래시 론"을 반환하고 전체 공격을 완료한 후 떠납니다.

Ø 공격 원리 분석

l 이 공격에서 공격자는 먼저 AutoCake에 많은 양의 Cake를 저당잡았고 이로 인해 그의 지분 비율이 매우 높아 AutoCake의 거의 모든 담보 수입을 공유할 수 있었습니다.

l 3단계에서 공격자는 대량의 케이크를 AutoCake 계약에 직접 주입하는데, 이는 케이크의 이 부분이 AutoCake 계약에 저당되지 않기 때문입니다. " (모기지 케이크, 보상도 케이크).

l 이리저리 AutoCake에 직접 들어간 대부분의 케이크는 결국 공격자에게 정산됩니다.

l 하지만 반면에 getReward 작업을 수행할 때 함수는 SPACE 토큰을 발행하고 스테이킹으로 얻은 보상의 양에 따라 추가 보상으로 사용자에게 발행합니다. 정상적인 상황에서는 스테이킹 보상이 적기 때문에 매우 적은 양의 SPACE 토큰이 발행되지만 위에서 언급한 공격자의 작전으로 인해 많은 수의 SPACE 토큰이 발행되었습니다.

3. 이벤트 리뷰

이것이 수익을 완성하기 위해 "플래시 론"을 사용하는 전형적인 공격이라고 보는 것은 어렵지 않습니다. 핵심은 AutoCake 계약 자체 논리의 "보상 메커니즘"이며, 결국 공격자가 대량의 SPACE 토큰을 발행하도록 유도했습니다. 이익을 완료합니다. 동시에 이번 달 첫 번째 전형적인 "플래시 론" 공격이기도 하므로 주의를 기울여야 합니다.

Chengdu Lianan Security Team은 DeFi 생태계에서 "플래시 론"이 점점 더 대중화됨에 따라 어둠 속에 숨어 있는 공격자들도 언제든지 공격을 시작하기 위해 "플래시 론"을 사용할 준비가 되어 있다고 제안했습니다. 따라서 DeFi 생태계의 모든 프로젝트 당사자는 여전히 "플래시 론 공격"의 위협에 특별한 주의를 기울여야 하며 제3자 보안 회사와 적극적으로 협력하여 완전하고 전문적인 보안 보호 메커니즘을 구축해야 합니다.