DeFi借贷协议Akropolis遭受重入攻击 损失200万美元

近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官Ana Andrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台(Beosin-Eagle Eye)报警后,第一时间对本次攻击事件进行了调查,结果发现:

1、Akropolis确实遭到攻击

2、攻击合约地址为

0xe2307837524db8961c4541f943598654240bd62f

3、攻击手法为重入攻击

4、攻击者获利约200万美元

通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:

数据:持有比特币的地址已超过4000万个:金色财经报道,据glassnode数据显示,目前持有比特币的地址已超过4000万个。[2022/3/8 13:43:24]

图一

图二

参考链接:

https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:

图三

通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:

图四

通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:

图五

而deposit函数调用中的depositToprotocol 函数,存在调用 tkn 地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。

在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。

最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

SHIB金色观察 | 一文了解波卡平行链拍卖

作为加密生态中的重要一项,波卡在今年的进展备受关注。 进入到2020年底,加密货币领域里的另一场大戏——波卡平行链插槽竞拍,即将拉开帷幕。平行链作为波卡生态中至关重要的角色,平行链插槽的拍卖一直备受关注。对于波卡而言:平行链插槽拍卖是波卡路线图中的重要里程碑,意味着波卡的跨链愿景真正开始落地。

币安app官网下载BTC破1.6万美元 DeFi却被攻击不停 项目方:我太难了

DeFi 黑客数量占 2020 年盗窃量的 21%,而在去年该数量几乎可以忽略不计。   11 月 12 日晚间,各个加密数字交易平台的实时数据显示,比特币一举冲破 16000 美元大关。截至 11 月 12 日,比特币总市值突破 2915 亿美元,相当于全球最大市值银行中国工商银行 A 股的总市值。

以太坊交易我嫌交易手续费太高 男朋友直接给我开了家交易所

大家好 我们是张姨杨姨 两个区块链创业者 号外!一天八个变的姐妹,又大变样了! 单也没盈利,币也没提出来,卡也没解冻的姐妹,又出视频啦! 币圈苦中作乐第一组合 时代强颜欢笑第一强音 近日,凡尔赛文学火遍小江南北 如果币圈人有一天也凡尔赛了起来... “咳咳同学们,今天我们以交易手续费为命题作文,创作凡尔赛文学” “有天跟先生讲,交易所手续费太高了啦。

FTT刀尖上的创新:闪电贷做错了什么吗?

从已知的信息来看,过去一周,已经发生了4起闪电贷攻击,包括Value DeFi(540万美元)、Cheese Bank(330万美元)、Akropolis(200万美元)以及今天的OUSD(700万美元)。 我们特意查看了一下记录,发现自今年年初以来基本每个月都要发生几起闪电贷攻击。说明闪电贷攻击已经不是一种偶然事件了。

[0:0ms0-0:656ms