7 月 14 日,布局在 BSC 和 Polygon 链上的收益聚合器 Aperocket 在不到 12 小时的时间内先后遭到闪电贷攻击。
据 PeckShield「派盾」追踪和定位分析,虽然攻击者两次运用的攻击手法不同,但都是源于 Aperocket 存在的收益通胀漏洞。
在 BSC 链上的 Aperocket 遭到攻击后,其代币 SPACE 的价格短时下跌 75%。
Aperocket 是「Fork」此前遭到闪电贷攻击闪崩,触发一系列闪电贷攻击多米诺的 PancakeBunny 的收益聚合器。
用户通过质押 ApeSwap 的 LP Token、CAKE 或 SPACE 等代币来获得自动复合收益。
在此安全事件中,攻击者质押 CAKE,获得 CAKE 奖励和 SPACE 代币奖励(Aperocket 的额外奖励),利用 AutoCake:withdrawAll() 存在的漏洞获利。
PeckShield「派盾」简述 BSC 链上的攻击过程:
首先,攻击者从 PancakeSwap 借出两笔闪电贷,共计 161.5 万枚 CAKE;