北京时间2022年6月8日晚7点左右,CertiK审计团队监测到ApolloX项目遭受黑客攻击,其代币价格骤降52.12%。
该项目于2021年12月启动,APX作为ApolloX交易所的原生代币,是币安智能链上的一个BEP-20代币。
攻击者(0x9e532b19abd155ae5ced76ca2a206a732c68f261)通过反复调用ApolloxExchangeTreasury中的函数claim(),从该合约中获得约5300万APX代币,后来被换成了210万枚BUSD。攻击者共进行了8次交易。
当日ApolloX正式宣布他们被黑客攻击,并计划通过公开回购APX和从交易所交易费中赚取的APX来弥补损失。
HECO负责人六苏:HECO生态建设离不开开发者们,HECO Grant旨在公益资助早期优质项目:5月28日,HECO负责人六苏在线上直播节目中对话DoraHacks合伙人Steve Hgok,双方就“HECO Grant如何为中小开发者赋能”展开探讨。六苏介绍到,HECO Grant是由HECO和DoraHacks联合发起的全球社区开发者二次方投票资助计划,旨在公益资助开发者的创新想法和早期优质项目,可以在HECO生态中进一步发展成技术更完善、产品更可用、社区更完整的项目。六苏表示,HECO采用HPoS共识机制,支持EVM的可编程性,大大降低了开发维护成本,为全球开发者提供了一个更加高效稳定的开发环境。同时,六苏表示:“HECO生态的建设,离不开生态中的开发者们。当开发者们成长起来,他们也会反哺其他开发者,从而建设更好的HECO生态。我们欢迎更多项目加入HECO,共同建设HECO生态。”最后,六苏透露到,HECO全球节点竞选在报名入口发布的第二天就已收到200余个报名,其中不乏海内外知名机构和高净值投资者。[2021/5/28 22:53:55]
推特公告链接:https://twitter.com/ApolloX_com/status/1534570239177789440?
Wilson:核心在于选择真正优质靠谱平台的优质项目:金色财经报道,3月21日,《佟掌柜的朋友们-深圳海外专场》顺利举办,在主题是“优质海外项目的愿景与使命”的圆桌论坛上,针对“海外项目进中国有什么样的优势?”的问题。
Avalanche Head of China?Wilson表示,我觉得核心不在于是不是海外项目,而是是不是优质项目,海外项目也有很多渣渣,这种项目带进来也会祸害国民,所以我觉得核心是你在平行世界里的第三层世界,你如何能够让更多的人更好地了解到这些靠谱的平台,因为早晚一天他会使用,所以首先的选择是真正优质靠谱的平台。把海外项目带进来之后,核心有几个优势,我觉得国内会比海外浮躁一点,2018年我出差就去了13个国家25个城市,见过的各种海外的东西非常多,他们所存在的生态中就是想做基础,就存在两个好处,第一个他知道这个东西牛逼,第二个他有耐心去做,第三他的token未来的回报是巨大的,刚才为什么说赚时间的钱,这些人想明白了,最后这些盈利是来自于生态的增长,所以他有耐心。而国内大家比较浮躁,都喜欢交易,交易到最后发现变成了韭菜。我们希望把我们懂的东西,不管是境内境外,我们希望把优质的东西带给所有社群的人,让他们理解什么是好的东西,什么是应该参与的东西,什么是未来的东西。[2021/3/21 19:05:26]
攻击步骤
BGX开启“0元上币,优质项目扶持计划”:据官方消息,BGX将于今日正式启动“0元上币,优质项目扶持计划”,优质项目不仅免费上币,更能获得资本、营销、交易、孵化等全生态扶持。该计划旨在助力优质项目的全生态发展,推动区块链技术的快速落地。
BGX是一家全球性的数字货币交易平台,总部位于新加坡,在香港、日本、英国多地都设有办事处,致力于为用户提供场外法币交易、币币交易、合约交易等一站式交易服务。[2020/9/5]
①攻击者调用多个合约,而这些合约又反复调用ApolloxExchangeTreasury中的claim()函数。该函数用ECDSA.recover()成功验证了输入的信息和签名,并将相应的代币金额从合约中转移到攻击者手中。
②攻击者通过PancakeSwap将APX代币大量换成BUSD。
漏洞交易
管交所BGOEX“星推荐”上线第四期优质项目ETE:据官方消息,ETE(永恒生态系统)于北京时间7月13日14点整在管交所BGOEX官方网站和官方APP开始申购,ETE申购总量100万枚,价格0.01143USDT。持有100个BGO并完成实名认证即可参与申购。
ETE(Eternal Ecology)是美国永恒生态基金会发行的生态币,应用于永恒生态整个生态系统。永恒生态使用ETE作为流通的数字货币,将智能化社交电商和支付系统与区块链技术相结合,形成了闭环式生态体系。同时该币种具有区块链去中心、开放透明、安全不可篡改、智能自治等特性。[2020/7/10]
攻击者利用了以下这些交易盗取了ApolloX代币:
https://bscscan.com/tx/0x21e5e6ee42906a840c07eb39fb788553a3fbb5794562825c2a1d37bfc910e5f7
https://bscscan.com/tx/0x67a90c1af85c626460b928ccfde66432dd828b838038ef15400c577ee5386926
https://bscscan.com/tx/0xccc9e8ebf0472272b83e328a11e5aa5eb712c831dcd5bae32622dc238005aee0
https://bscscan.com/tx/0x34b29a393b68ae0f2e417485fb57ea7510a253c1b01431d04a66ca61e4fbbc8c
在PancakeSwap上的调换操作:
500万APX换取了246,560BUSD?https://bscscan.com/tx/0xc2607de512e31737659b78e8b6f6cc4a82b10f3da953e901e95a0c7beea440de
700万APX换取了291,276BUSD?https://bscscan.com/tx/0xe944b576b46402c830bf79062ba22728c55c87c73062f944f01d71d7fb707f53
700万APX换取了246,243BUSD?https://bscscan.com/tx/0x55c45952611cdd1b1d1c168c1b0bd6198ff64c71abb67aecda8ffa4057758cc6
700万APX换取了213,971BUSD?https://bscscan.com/tx/0x57030b6e64f81b854601abc5953837d4d7b3f2534593a1f48485fffd37630b94
700万APX换取了160,999BUSD
https://bscscan.com/tx/0xf25688d3651bbade2cb67835050678ad4ab6f15f140a162fc2c3eed1821f8ec0
700万APX换取了115,535BUSD
https://bscscan.com/tx/0xdf7e67aa67b8e56265cb05866d026015d0d6cafcefff5ba957b849df66a34284
700万APX换取了183,061BUSD
https://bscscan.com/tx/0x72c7c6b8c73d4e70905c48f7fcc6a5c4a0ba27323067e7bbf2fae8f2cf80be02
约700万APX换取了143,451BUSD
https://bscscan.com/tx/0x902ebbe7418c719032b524be101c2f3d88f8e061f85e19c5b6ab62a4b65b83c0
资产去向
①攻击者赚取了约210万BUSD,资产通过以下3个交易被转移到ZAPbridge?
0x3d141a94a914947b3cc611f3e44d81be9f3147a9afaf168c57c4b5c638b16f71
0x07e4438429c55cfc1d1b2fcb8eb10cadc579d0b16c7b78af78a26448bc8b1d28
0x25ee8fc7d26ef11bce3d546517134b125d306f00bba253a2c13e6dcdc35b64f2
②随后被转移至以太坊的地址:0x9E532b19Abd155Ae5ced76cA2a206A732c68f261
写在最后
通过审计,我们可以发现这一风险因素。
项目团队使用的是Openzeppelin3.2.0版的标准ECDSA,签名的生成在合约之外。
正常情况下,签名的中心化控制可被监测到,以“中心化风险”的审计结果呈现于审计报告中。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。