北京时间2022年6月8日晚7点左右,CertiK审计团队监测到ApolloX项目遭受黑客攻击,其代币价格骤降52.12%。
该项目于2021年12月启动,APX作为ApolloX交易所的原生代币,是币安智能链上的一个BEP-20代币。
攻击者(0x9e532b19abd155ae5ced76ca2a206a732c68f261)通过反复调用ApolloxExchangeTreasury中的函数claim(),从该合约中获得约5300万APX代币,后来被换成了210万枚BUSD。攻击者共进行了8次交易。
当日ApolloX正式宣布他们被黑客攻击,并计划通过公开回购APX和从交易所交易费中赚取的APX来弥补损失。
BitKeep内置NFT市场从Wyvern协议迁移至Seaport:12月16日消息,BitKeep钱包内置NFT交易市场已完成从Wyvern协议迁移至Seaport协议,将为用户提供更低成本的NFT交易环境。BitKeep表示,目前用户在App内交易以太坊、BNBChain、Polygon、Arbitrum等多链NFT,每笔交易预计可节省50%以上的Gas费用,同时,新用户将不再需要支付账户注册费。[2022/12/16 21:48:05]
推特公告链接:https://twitter.com/ApolloX_com/status/1534570239177789440
攻击步骤
①攻击者调用多个合约,而这些合约又反复调用ApolloxExchangeTreasury中的claim()函数。该函数用ECDSA.recover()成功验证了输入的信息和签名,并将相应的代币金额从合约中转移到攻击者手中。
加密对冲基金Apollo Capital今年年初以来回报率为119%:据媒体报道,7500万美元资本管理规模的加密对冲基金Apollo Capital今年年初以来的回报率为119%,其表现超过了回报率19.96%的比特币。据悉,该对冲基金主要关注基于以太坊的加密货币项目,而避开较新的加密货币项目。(彭博社)[2021/7/6 0:30:53]
②攻击者通过PancakeSwap将APX代币大量换成BUSD。
漏洞交易
攻击者利用了以下这些交易盗取了ApolloX代币:
https://bscscan.com/tx/0x21e5e6ee42906a840c07eb39fb788553a3fbb5794562825c2a1d37bfc910e5f7
https://bscscan.com/tx/0x67a90c1af85c626460b928ccfde66432dd828b838038ef15400c577ee5386926
约4576枚BTC转出Xapo交易所 价值约2.17亿美元:Whale Alert数据显示,北京时间2月10日05:16,4575.99枚BTC从Xapo交易所转入3BqLR3开头的未知钱包,价值约2.17亿美元,交易哈希为:a0303ae4ea41e107e880bf01ceb99e4e9a60b6331008040aab149c5b30c79b17。[2021/2/10 19:23:32]
https://bscscan.com/tx/0xccc9e8ebf0472272b83e328a11e5aa5eb712c831dcd5bae32622dc238005aee0
https://bscscan.com/tx/0x34b29a393b68ae0f2e417485fb57ea7510a253c1b01431d04a66ca61e4fbbc8c
动态 | 数据显示:676枚比特币自Xapo转至一未知地址:据Whale Alert监测,北京时间13点47分,676枚比特币自Xapo(3Q5Z5开头的地址)转至一未知地址(3F18f开头的地址)。[2019/10/11]
在PancakeSwap上的调换操作:
500万APX换取了246,560BUSDhttps://bscscan.com/tx/0xc2607de512e31737659b78e8b6f6cc4a82b10f3da953e901e95a0c7beea440de
700万APX换取了291,276BUSDhttps://bscscan.com/tx/0xe944b576b46402c830bf79062ba22728c55c87c73062f944f01d71d7fb707f53
700万APX换取了246,243BUSDhttps://bscscan.com/tx/0x55c45952611cdd1b1d1c168c1b0bd6198ff64c71abb67aecda8ffa4057758cc6
700万APX换取了213,971BUSDhttps://bscscan.com/tx/0x57030b6e64f81b854601abc5953837d4d7b3f2534593a1f48485fffd37630b94
700万APX换取了160,999BUSD
https://bscscan.com/tx/0xf25688d3651bbade2cb67835050678ad4ab6f15f140a162fc2c3eed1821f8ec0
700万APX换取了115,535BUSD
https://bscscan.com/tx/0xdf7e67aa67b8e56265cb05866d026015d0d6cafcefff5ba957b849df66a34284
700万APX换取了183,061BUSD
https://bscscan.com/tx/0x72c7c6b8c73d4e70905c48f7fcc6a5c4a0ba27323067e7bbf2fae8f2cf80be02
约700万APX换取了143,451BUSD
https://bscscan.com/tx/0x902ebbe7418c719032b524be101c2f3d88f8e061f85e19c5b6ab62a4b65b83c0
资产去向
①攻击者赚取了约210万BUSD,资产通过以下3个交易被转移到ZAPbridge?
0x3d141a94a914947b3cc611f3e44d81be9f3147a9afaf168c57c4b5c638b16f71
0x07e4438429c55cfc1d1b2fcb8eb10cadc579d0b16c7b78af78a26448bc8b1d28
0x25ee8fc7d26ef11bce3d546517134b125d306f00bba253a2c13e6dcdc35b64f2
②随后被转移至以太坊的地址:0x9E532b19Abd155Ae5ced76cA2a206A732c68f261
写在最后
通过审计,我们可以发现这一风险因素。
项目团队使用的是Openzeppelin3.2.0版的标准ECDSA,签名的生成在合约之外。
正常情况下,签名的中心化控制可被监测到,以“中心化风险”的审计结果呈现于审计报告中。
据官方数据,JustLendDAO存借规模现已突破38亿美金。其中,存款规模超36亿美金,借款规模超2.16亿美金.
1900/1/1 0:00:00随机性的魔力自古代文明以来,对随机性的着迷一直是我们社会和娱乐机制的一部分。在早期的希腊和罗马文明中,当地的先知提供了看似随机的解决方案和理论,以描述从自然现象中感知的意义.
1900/1/1 0:00:00原文作者:DevinAbbott当我们谈论Web3时,大多数人会立刻想到NFT、加密资产或DeFi。因为从TwitterCrypto的活动来看,这是事实.
1900/1/1 0:00:00随着市场高杠杆逐步出清,加之美联储加息节奏放缓,市场情绪相对乐观,多重因素助推下,加密市场在8月迎来一波上涨行情:加密货币集体反弹,BTC价格更是自6月初以来首次升破25000美元.
1900/1/1 0:00:00据最新消息,波场联合储备与JustLend达成战略合作关系。 在JustLend存款挖矿奖励从JST调整为USDD的基础上,波联储将买入价值1000万美金的JST,并将JST列为储备资产,进一步.
1900/1/1 0:00:00前言五月以来,币价虽然在不断下滑然而发生的安全事件的数量却在显著攀升,据知道创宇区块链安全实验室数据显示:该月发生的安全事件超37起,其中跑路局和网络钓鱼事件频发.
1900/1/1 0:00:00