分析Aperocket(收益聚合器)遭受攻击困境与解决办法

随着多链部署的兴起，在处理安全事件时，协议参与者和专业安全团队需要比攻击者更冷静。

7月14日，位于BSC和Pogon链上的收入聚合器Aperocket在不到12个小时内遭到闪电贷款的攻击。

据 PeckShield「派盾」追踪和定位分析，虽然攻击者两次运用的攻击手法不同，但都是源于 Aperocket 存在的收益通胀漏洞。

BSC链上的一个锁被攻击后，其代币空间的价格短期内下跌了75%。

Aperocket是Pancake Bunny的收入聚合器，它引发了一系列针对Domino的闪贷攻击。

用户可以通过质押Apeswap的LP代币、蛋糕或空间获得自动复合收益。

在这个安全事件中，攻击者承诺蛋糕，获得蛋糕奖励和空间代币奖励（aperocket的额外奖励），并利用autocake:deculll（）的漏洞获利。

Peckshield描述了对BSC链的攻击过程

首先，攻击者从pancakeswap借了两笔闪贷，共计161.5万个蛋糕；

然后，509000个蛋糕存入资金池，这有助于攻击者在以后调用autocake contract中的drawCall（）或revenued（）函数时释放空间代币；

攻击者**将大量蛋糕质押给基金池，迅速提高了其在基金池中的持股比例，使其能够分享90%以上的自动质押收益，即蛋糕和空间；

在完成前期工作，将蛋糕存入资金池后，攻击者进行第二笔交易，将100万10.5万蛋糕质押给自动取款合同，调用自动取款合同的收获功能触发重复投资，相当于蛋糕版的蛋糕复利池，认捐蛋糕，可以挖蛋糕，然后将蛋糕自动承包给蛋糕资金池。

随着合同中蛋糕数量的增加，铸造空间也会相应增加。

最终，攻击者归还了闪电贷款，并获利8835亿英镑（合同金额27.3万美元）。据peckshield说，攻击者在pogon上赚了大约100万美元。

自2021年第一季度以来，DeFi市场呈现多链生态爆发的趋势。整个市场延续了2020年下半年强劲增长的势头，大部分指标再创新高。

然而，随着虚拟货币市场在第二季度末的回落，DeFi领域或多或少受到了影响。在公链争夺流动性的同时，现有的DeFi协议也在探索和适应新兴的多链布局运营模式。

可观的收益率有助于吸引流动性，但同时，多链布局也对协议的安全性和安全响应速度提出了更高的要求。当安全事件发生时，不仅要对第一时间受到攻击的漏洞进行调查，提出安全方案，而且要在一条链中发现潜在的漏洞时，检测另一条或多条链的协议中是否存在类似的问题，并及时向社会发出警示，提出安全解决方案，避免相关有价值资产暴露于风险之中，有助于减少已知和可能造成的较大损失。

在今年上半年与攻击者的攻防战中，peckshield发现，通过建立风险控制和融合机制，引入第三方安全公司的态势感知情报服务，可以有效降低闪电贷款攻击造成的损失，第一时间应对安全风险，及时查封安全攻击。

随着多链部署的兴起，在处理安全事件时，协议参与者和专业安全团队需要比攻击者更冷静。这是一场时间之战。攻击者不会停下来让我们反思。只有先于进攻方一步，哪怕是一小步，我们才能在这场战斗中取得胜利。