近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:
1、Akropolis确实遭到攻击
2、攻击合约地址为
当前DeFi锁仓总量为2039.8亿美元:金色财经报道,据DefiLlama数据显示,当前DeFi锁仓总量为2039.8亿美元。其中,排名前5的锁仓量排名前5的公链分别为以太坊(1210.9亿美元)、Terra(142.7亿美元)、BSC(130亿美元)、Avalanche(107.2亿美元)、Fantom(83亿美元)、[2022/2/13 9:48:28]
0xe2307837524db8961c4541f943598654240bd62f
V神:DeFi收益耕作就像央行疯狂印钞:以太坊联合创始人Vitalik Buterin认为,DeFi收益耕作就像中央银行为拯救经济疯狂印钞一样是不可持续的,而且他对目前DeFi市场热潮持怀疑态度。Vitalik Buterin还暗示说:到目前为止,我看到产生长期费用的唯一策略是某种怪异的金融攻击,抢夺流动性并从未掉期交易中窃取网络效应,我对这种策略感到悲观。有人认为Vitalik Buterin这种说辞可能在暗示Uniswap+收益耕作工具Sushiswap。Vitalik Buterin建议最好完全摆脱收益耕作,直到它逐渐发展为一个更具可持续性的行业。(decrypto)[2020/9/1]
3、攻击手法为重入攻击
DeFi中锁定的比特币数量再创历史新高:金色财经报道,根据DeFiPulse的数据,尽管增长受限,但在DeFi中锁定的比特币达到了2026枚的历史高点。在DeFi中锁定的比特币在2月份开始积聚势头,从1500枚BTC上升到超过1700枚BTC,直至3月15日。值得注意的是,DeFi中的BTC在3月12日市场下跌期间没有下降趋势,而是横盘整理。另一方面,ETH和Dai并不那么幸运。“黑色星期四”导致MakerDao保险库中拍卖了抵押品不足的以太坊,此后,锁定在Defi中的ETH和Dai数量下跌。尽管ETH现货市场出现了突飞猛进的增长,但锁定在DeFi中的资产数量无法恢复。3月30日,DeFi中锁定的ETH在24小时内跃升了近14%,达到281万,但增长在4月8日再次被抹去。[2020/4/21]
4、攻击者获利约200万美元
攻击手法分析
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
图一
图二
参考链接:
https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三
通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四
通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六
事件小结
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。
最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。