EFI:DeFi借贷协议Akropolis遭受重入攻击 损失200万美元

近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官Ana Andrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台(Beosin-Eagle Eye)报警后,第一时间对本次攻击事件进行了调查,结果发现:

1、Akropolis确实遭到攻击

2、攻击合约地址为

0xe2307837524db8961c4541f943598654240bd62f

TrustBase中国区发言人:TrustBase即将发布的经济模式会围绕挖矿+Defi生态设计:今日,TrustBase中国区发言人尔尔在BML直播间与BML 联合创始人 Graves对话波卡无畏牛熊栏目中,基于《深入市场,探索底层代码在Web3.0的未来》主题中表示,TrustBase即将发布的经济模式会围绕挖矿+Defi生态设计,同时会在新的经济模式中加入NFT、流动性贡献等相关收益,丰富TrustBase原本基于波卡的经济模式,拓宽整体生态维度。

并且在近期会在元宇宙实现首度探索,为了之后能够实现更多通证应用场景,与生态以及元宇宙实现有机联动,后期大概率会实现双链运营甚至多链的运营。[2021/8/10 1:46:34]

3、攻击手法为重入攻击

OKEx徐坤:DeFi热潮下最受益的依旧是ETH:8月31日午间,OKEx首席战略官徐坤发微博称,DeFi热潮下,最受益的依旧是ETH。她称,首先,ETH是流动性池子中最主要的基础资产。以Uniswap为例,目前总共15.6亿美金的流动性,其中ETH达到7.6亿美金,占据了一半的体量,而且ETH流通量大,在二级市场更容易获取,也是大部分CeFi用户进入DeFi的首选;其次,DeFi的活跃促使ETH作为Gas费的需求不断提升,今日建议Gas费已经超过370Gwei,24小时全网交易笔数超过120万,接近18年的历史高点;第三,DeFi的流动性挖矿吸引到更多资产锁定在以太坊生态,此外还有诸多DeFi热度项目基于以太坊发行自己的通证,承载更多样化的资产也更加巩固了ETH的价值基础。[2020/9/1]

4、攻击者获利约200万美元

动态 | DeFi项目锁仓价值11.4亿美元 过去一周环比减少1.91%:据DAppTotal.com DeFi专题页面数据显示:截至目前,已统计的33个DeFi项目共计锁仓资金达11.4亿美元,其中Maker锁仓3.48亿美元,占比30.49%,排名第一位;EOSREX锁仓3.27亿美元,占比28.62%,排名第二位;排名第三位的是Edgeware锁仓1.51亿美元,占比13.25%;Compound,Synthetix、dYdX、Nuo等其他DeFi类应用共占比27.64%。截至目前,ETH锁仓总量达337万个,占ETH市场总流通量的3.1%,EOS锁仓总量达1亿个,占EOS市场总流通量的9.67%。过去一周,整体而言:1、受Maker多抵押DAI即将上线影响,DAI整体锁仓大幅减少38.45%,其中Compound锁仓量减少938万枚,dYdX锁仓量减少167万枚; 2、DeFi项目整体锁仓价值较上周环比减少1.91%。[2019/11/18]

通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:

图一

图二

参考链接:

https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:

图三

通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:

图四

通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:

图五

而deposit函数调用中的depositToprotocol 函数,存在调用 tkn 地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。

在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。

最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:46ms0-1:151ms