APX:CertiK：ApolloX项目遭受黑客攻击事件分析_WEB3

北京时间2022年6月8日晚7点左右，CertiK审计团队监测到ApolloX项目遭受黑客攻击，其代币价格骤降52.12%。

该项目于2021年12月启动，APX作为ApolloX交易所的原生代币，是币安智能链上的一个BEP-20代币。

攻击者(0x9e532b19abd155ae5ced76ca2a206a732c68f261)通过反复调用ApolloxExchangeTreasury中的函数claim()，从该合约中获得约5300万APX代币，后来被换成了210万枚BUSD。攻击者共进行了8次交易。

当日ApolloX正式宣布他们被黑客攻击，并计划通过公开回购APX和从交易所交易费中赚取的APX来弥补损失。

Animoca Ventures与Blocore达成合作，共同投资Web3公司:10月7日消息，Animoca Ventures与韩国区块链投资机构Blocore签署谅解备忘录，双方将密切合作，寻找和支持领先的Web3公司，从而发展区块链和Web3生态系统。（Martech Series）[2022/10/7 18:41:56]

推特公告链接：https://twitter.com/ApolloX_com/status/1534570239177789440?

攻击步骤

①攻击者调用多个合约，而这些合约又反复调用ApolloxExchangeTreasury中的claim()函数。该函数用ECDSA.recover()成功验证了输入的信息和签名，并将相应的代币金额从合约中转移到攻击者手中。

②攻击者通过PancakeSwap将APX代币大量换成BUSD。

Polygon首席安全官：Web2安全漏洞频发，Web3公司应为此聘请传统安全专家:9月9日消息，Polygon首席安全官Mudit Gupta敦促Web3公司聘请传统安全专家来结束容易预防的黑客攻击，认为完美的代码和密码学是不够的。

Mudit Gupta在接受采访时表示，最近发生的几起加密攻击最终是Web2安全漏洞的结果，例如私钥管理和网络钓鱼攻击以获取登录信息，而不是设计不良的区块链技术；在不采用标准Web2网络安全实践的情况下获得经过认证的智能合约安全审计并不足以保护协议和用户的钱包不被攻击。（Cointelegraph）[2022/9/9 13:18:56]

漏洞交易

攻击者利用了以下这些交易盗取了ApolloX代币：

https://bscscan.com/tx/0x21e5e6ee42906a840c07eb39fb788553a3fbb5794562825c2a1d37bfc910e5f7

Coinbase发布2022年Web和加密经济的10个预测:12月31日消息，Coinbase发布2022年Web和加密经济的10个预测，包括：

1. 以太坊的可扩展性将会提高，但新的Layer1链将出现大幅增长；

2. L1-L2 跨链桥的可用性将有显著改进；

3. 零知识证明技术将获得更多关注；

4. 受监管的DeFi和链上kyc证明将会出现；

5. 机构将在DeFi参与中发挥更大的作用；

6. DeFi保险将出现；

7. 基于NFT的社区将给Web 2.0社交网络带来实质性的竞争；

8. 品牌将开始积极参与Metaverse和NFT；

9. Web2公司将觉醒并尝试进入Web3；

10. DAO 2.0时代即将来临。[2021/12/31 8:16:03]

https://bscscan.com/tx/0x67a90c1af85c626460b928ccfde66432dd828b838038ef15400c577ee5386926

福布斯2022年预测：Web3将在3方面影响未来工作:12月24日消息，福布斯于12月22日发文《2022预测，Web3对未来工作的影响》，其中提到3方面的影响：

1，文化与价值观。伴随美国“大辞职潮”，许多辞职者将会寻找Web3中的价值观和文化。Web3项目往往更具包容性和支持性。Web3公司正准备吸引大量年轻人才，因为Web3的理念是协作，合作和互惠。

2，自由职业经济。Web3哲学的一个化身可以在DAO中找到。在DAO中，工作、决策、金融交易是去中心化的，并由社区领导，这带来了某种新的自由职业经济，但又不同于零工经济。

3，专业发展。Web3带来了learn-to-earn模式，在吸引新用户的同时将教育机会扩大到世界各地的任何人。[2021/12/24 8:01:42]

https://bscscan.com/tx/0xccc9e8ebf0472272b83e328a11e5aa5eb712c831dcd5bae32622dc238005aee0

https://bscscan.com/tx/0x34b29a393b68ae0f2e417485fb57ea7510a253c1b01431d04a66ca61e4fbbc8c

在PancakeSwap上的调换操作:

500万APX换取了246,560BUSD?https://bscscan.com/tx/0xc2607de512e31737659b78e8b6f6cc4a82b10f3da953e901e95a0c7beea440de

700万APX换取了291,276BUSD?https://bscscan.com/tx/0xe944b576b46402c830bf79062ba22728c55c87c73062f944f01d71d7fb707f53

700万APX换取了246,243BUSD?https://bscscan.com/tx/0x55c45952611cdd1b1d1c168c1b0bd6198ff64c71abb67aecda8ffa4057758cc6

700万APX换取了213,971BUSD?https://bscscan.com/tx/0x57030b6e64f81b854601abc5953837d4d7b3f2534593a1f48485fffd37630b94

700万APX换取了160,999BUSD

https://bscscan.com/tx/0xf25688d3651bbade2cb67835050678ad4ab6f15f140a162fc2c3eed1821f8ec0

700万APX换取了115,535BUSD

https://bscscan.com/tx/0xdf7e67aa67b8e56265cb05866d026015d0d6cafcefff5ba957b849df66a34284

700万APX换取了183,061BUSD

https://bscscan.com/tx/0x72c7c6b8c73d4e70905c48f7fcc6a5c4a0ba27323067e7bbf2fae8f2cf80be02

约700万APX换取了143,451BUSD

https://bscscan.com/tx/0x902ebbe7418c719032b524be101c2f3d88f8e061f85e19c5b6ab62a4b65b83c0

资产去向

①攻击者赚取了约210万BUSD，资产通过以下3个交易被转移到ZAPbridge?

0x3d141a94a914947b3cc611f3e44d81be9f3147a9afaf168c57c4b5c638b16f71

0x07e4438429c55cfc1d1b2fcb8eb10cadc579d0b16c7b78af78a26448bc8b1d28

0x25ee8fc7d26ef11bce3d546517134b125d306f00bba253a2c13e6dcdc35b64f2

②随后被转移至以太坊的地址：0x9E532b19Abd155Ae5ced76cA2a206A732c68f261

写在最后

通过审计，我们可以发现这一风险因素。

项目团队使用的是Openzeppelin3.2.0版的标准ECDSA，签名的生成在合约之外。

正常情况下，签名的中心化控制可被监测到，以“中心化风险”的审计结果呈现于审计报告中。

来源：金色财经

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。