EUL:DeFi借贷协议Akropolis重入攻击事件分析

近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:

1、Akropolis确实遭到攻击

2、攻击合约地址为

Shibarium测试网地址数超过6.5万,交易数超过12.1万:金色财经报道,自四天前Shibarium测试网Puppynet重新启动以来,交易数量和总钱包地址出现了大幅上升,目前测试网现已处理超过121,000笔交易,钱包地址数量超过65,000个。[2023/3/29 13:32:11]

0xe2307837524db8961c4541f943598654240bd62f

3、攻击手法为重入攻击

Euler Labs CEO:协议在遭遇攻击前曾在两年时间内接受了10次审计:3月17日消息,在今日发布的一系列推文中,Euler Labs首席执行官Michael Bentley描述了3月13日Euler遭遇1.97亿美元闪贷攻击后,他人生中“最艰难的日子”。他转发了一名用户分享的信息,称Euler有来自6家不同公司的10次审计,并评论说该平台“一直是一个安全意识强的项目”。2021年5月至2022年9月,Halborn、Solidified、ZK Labs、Certora、Sherlock和Omnisica等区块链安全公司对Euler Finance进行了智能合约审计。

此前昨日消息,Euler基金会悬赏100万美元征集黑客和被盗资金线索。[2023/3/17 13:10:05]

4、攻击者获利约200万美元

Astar CEO:WASM智能合约已得到四大浏览器引擎的支持:金色财经报道,多链智能合约平台 Astar Network 创始人 Sota Watanabe 在最新采访中透露,旗下 Webassembly(WASM)智能合约已经得到谷歌、微软和 Mozilla 等头部公司的四大浏览器引擎(Chrome、Firefox、Edge 和 Webkit)支持,并且可以与主流编程语言一起使用,例如 C/C++、GO、TypeScript 和 RUST,帮助 Web2 开发人员使用 WASM 工具构建可互操作的 Web3 Dapp。(bitcoin.com)[2022/12/12 21:37:56]

攻击手法分析

通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:

图一

图二

参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:

图三

通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:

图四

通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:

图五

而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

事件小结

Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。

在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。

最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。

?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:840ms