北京时间2022年6月8日晚7点左右,CertiK审计团队监测到ApolloX项目遭受黑客攻击,其代币价格骤降52.12%。
该项目于2021年12月启动,APX作为ApolloX交易所的原生代币,是币安智能链上的一个BEP-20代币。
攻击者(0x9e532b19abd155ae5ced76ca2a206a732c68f261)通过反复调用ApolloxExchangeTreasury中的函数claim(),从该合约中获得约5300万APX代币,后来被换成了210万枚BUSD。攻击者共进行了8次交易。
韩国金融部门要求Gopax再次进行风险评估:4月24日消息,韩国金融监管部门要求韩国交易所 Gopax 在 9 个月后再次进行风险评估。目前,金融当局正在审查币安收购 Gopax 时提交的虚拟资产运营商(VASP)变更报告,审核结果预计要推迟到 5 月中旬。同时,审核变更报告的推迟将进一步推迟向那些在 GoFi(Gopax 的加密货币存款服务)中绑定资金的用户偿还资金。因为只有在变更完成后,币安才能全额支付收购 Gopax 的费用,并归还绑定在 GoFi 上的 566 亿韩元(约 4239 万美元)客户资金。(Edaily)[2023/4/24 14:23:26]
当日ApolloX正式宣布他们被黑客攻击,并计划通过公开回购APX和从交易所交易费中赚取的APX来弥补损失。
代币化风投基金SPiCE VC公布2022年业绩,内部收益率超50%:1月10日消息,完全代币化的风投基金SPiCE VC宣布了其2022年的业绩,即使经济逆风持续存在,也为其投资者带来了可观的回报。SPiCE的内部收益率(IRR)估计了潜在的投资收益率,超过了50%。此外,SPiCE的投资资本倍数(MOIC)增长了6倍,是VC平均MOIC的三倍。SPiCE在四年内为其投资者实现了82%的实收资本分配 (DPI)。[2023/1/11 11:05:13]
推特公告链接:https://twitter.com/ApolloX_com/status/1534570239177789440?
攻击步骤
①攻击者调用多个合约,而这些合约又反复调用ApolloxExchangeTreasury中的claim()函数。该函数用ECDSA.recover()成功验证了输入的信息和签名,并将相应的代币金额从合约中转移到攻击者手中。
英国橄榄球传奇人物Lawrence Dallaglio被任命为Caduceus全球战略顾问:8月9日消息,英国橄榄球世界杯冠军,前英格兰队长,世界橄榄球名人堂传奇人物 Lawrence Dallaglio 被去中心化边缘渲染元宇宙协议 Caduceus 任命为全球战略顾问,致力于将体育带入元宇宙。
作为少数同时赢得橄榄球世界杯和七人制世界杯的球员之一,Lawrence Dallaglio 表示:我只对行业顶流项目合作感兴趣,Caduceus 是我在 Web3 领域见到唯一一个适合合作的项目,它遥遥领先其他项目,相信此次合作将是一段非常激动人心的旅程。
Caduceus 作为专为元宇宙及数字世界打造的开放式基础设施平台,已受到多位体育巨星的青睐。此前曾获得足球传奇巨星 John Terry 的投资,并与英国板球教父 Ian Botham 在 NFT 及元宇宙达成深度合作。(雅虎财经)[2022/8/9 12:12:38]
②攻击者通过PancakeSwap将APX代币大量换成BUSD。
Bitpanda推出以DeFi、元宇宙等为主题的四个加密指数:金色财经报道,加密投资平台 Bitpanda 推出了四个新的主题加密指数。?这些指数允许用户投资预设的加密投资组合,获得与DeFi、元宇宙、智能合约和基础设施主题相关的硬币和代币。指数会根据市场变化自动重新平衡。?
联合创始人兼首席执行官 Eric Demuth 在声明中称,通过 Bitpanda 加密指数,我们为客户提供了接触加密市场并开始投资加密的机会。现在,是时候采取明显的下一步行动了,这四个新的加密货币指数让人们有机会投资于他们热衷的领域。没有麻烦,无需不断研究新的加密货币项目,这只是一种让每个人都可以多样化其投资组合的简单方法。[2022/7/14 2:13:31]
漏洞交易
攻击者利用了以下这些交易盗取了ApolloX代币:
“Bitcoin dead”谷歌搜索量创下自2018年2月以来新高:金色财经消息,近期“Bitcoin dead”谷歌搜索量激增,创下自2018年2月以来新高。[2022/6/23 1:27:20]
https://bscscan.com/tx/0x21e5e6ee42906a840c07eb39fb788553a3fbb5794562825c2a1d37bfc910e5f7
https://bscscan.com/tx/0x67a90c1af85c626460b928ccfde66432dd828b838038ef15400c577ee5386926
https://bscscan.com/tx/0xccc9e8ebf0472272b83e328a11e5aa5eb712c831dcd5bae32622dc238005aee0
https://bscscan.com/tx/0x34b29a393b68ae0f2e417485fb57ea7510a253c1b01431d04a66ca61e4fbbc8c
在PancakeSwap上的调换操作:
500万APX换取了246,560BUSD?https://bscscan.com/tx/0xc2607de512e31737659b78e8b6f6cc4a82b10f3da953e901e95a0c7beea440de
700万APX换取了291,276BUSD?https://bscscan.com/tx/0xe944b576b46402c830bf79062ba22728c55c87c73062f944f01d71d7fb707f53
700万APX换取了246,243BUSD?https://bscscan.com/tx/0x55c45952611cdd1b1d1c168c1b0bd6198ff64c71abb67aecda8ffa4057758cc6
700万APX换取了213,971BUSD?https://bscscan.com/tx/0x57030b6e64f81b854601abc5953837d4d7b3f2534593a1f48485fffd37630b94
700万APX换取了160,999BUSD
https://bscscan.com/tx/0xf25688d3651bbade2cb67835050678ad4ab6f15f140a162fc2c3eed1821f8ec0
700万APX换取了115,535BUSD
https://bscscan.com/tx/0xdf7e67aa67b8e56265cb05866d026015d0d6cafcefff5ba957b849df66a34284
700万APX换取了183,061BUSD
https://bscscan.com/tx/0x72c7c6b8c73d4e70905c48f7fcc6a5c4a0ba27323067e7bbf2fae8f2cf80be02
约700万APX换取了143,451BUSD
https://bscscan.com/tx/0x902ebbe7418c719032b524be101c2f3d88f8e061f85e19c5b6ab62a4b65b83c0
资产去向
①攻击者赚取了约210万BUSD,资产通过以下3个交易被转移到ZAPbridge?
0x3d141a94a914947b3cc611f3e44d81be9f3147a9afaf168c57c4b5c638b16f71
0x07e4438429c55cfc1d1b2fcb8eb10cadc579d0b16c7b78af78a26448bc8b1d28
0x25ee8fc7d26ef11bce3d546517134b125d306f00bba253a2c13e6dcdc35b64f2
②随后被转移至以太坊的地址:0x9E532b19Abd155Ae5ced76cA2a206A732c68f261
写在最后
通过审计,我们可以发现这一风险因素。
项目团队使用的是Openzeppelin3.2.0版的标准ECDSA,签名的生成在合约之外。
正常情况下,签名的中心化控制可被监测到,以“中心化风险”的审计结果呈现于审计报告中。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。