3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。4.
3. 攻击者将剩余的1105916个cake直接打入AutoCake合约。
4. 然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。
5. 完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACE Token进行获利。
6. 归还“闪电贷”,完成整个攻击后离场。
Ø 攻击原理分析
l 在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。
l 在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”(抵押cake,奖励也是cake)。
l 一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。
l 但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACE Token发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACE Token也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACE Token。
不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACE Token完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。
成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。
本文链接:https://www.8btc.com/article/6660991
转载请注明文章出处
免责声明:
本文观点仅代表作者个人观点,不构成本平台的投资建议,本平台不对文章信息准确性、完整性和及时性作出任何保证,亦不对因使用或信赖文章信息引发的任何损失承担责任
加密货币市场市值上涨,为什么大多数币还是表现不佳?
贝莱德:比特币已不是单纯的风险资产
美联储降息对比特币的影响
VanEck 分析师表示,卡马拉·哈里斯出任总统可能会对比特币更有利
白话区块链早报:哈里斯首次对加密货币发表评论并承诺支持该领域
相关分析师表示,在美国可能降息的情况下,DeFi 收益率将回升
白话区块链早报:ETH/BTC汇率回升至0.04上方,24小时涨幅4.02%。
白话区块链早报:特朗普:加密行业初具雏形但极具潜力,将提高对加密行业的能源供应
白话区块链早报:Bitwise CIO表示以太坊低迷并非生死攸关,逆向押注或具潜力
区块链应用档案_区块链技术有哪些应用
0.00