DeFi借贷协议Akropolis遭受重入攻击 损失200万美元

近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官Ana Andrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台(Beosin-Eagle Eye)报警后,第一时间对本次攻击事件进行了调查,结果发现:

1、Akropolis确实遭到攻击

2、攻击合约地址为

0xe2307837524db8961c4541f943598654240bd62f

3、攻击手法为重入攻击

4、攻击者获利约200万美元

通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:

BiKi平台今日上线FOX,开盘涨幅达97.06%:据官方消息,BiKi平台今日开放FOX/ETH交易对,开盘涨幅达97.06%,开盘价0.000002ETH,现价0.0000038353ETH。

Foxswap是一个专业的去中心化交易平台,集成10多种token发行方式、多种资金监管方式,通过交易挖矿、流动性挖矿、邀请挖矿三种方式完成平台的快速冷启动,打造以太坊网络一站式资产发行、交易、投资平台。[2020/8/19]

图一

图二

参考链接:

https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:

图三

通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:

图四

通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:

图五

而deposit函数调用中的depositToprotocol 函数,存在调用 tkn 地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。

在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。

最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

XMR已质押总额不足20% 以太坊2.0主网能如期上线吗?

11月4日,以太坊(ETH)核心开发人员迎来了一个重要的里程碑。在以太坊基金会博客上的“快速更新”中,开发人员Danny Ryan确认发布了备受期待的以太坊2.0升级版v1.0规范,其中包括主网存款合约地址。任何想作为以太坊2.0主网的验证者参与的人现在都可以开始存入32 枚ETH进行质押。

SAND本月以太坊十大DApp用户量突破100万

在过去的 30 天里,以太坊上十大最受欢迎的 DApp 共有超过 100 万活跃用户。 根据分析平台 DappRadar 的数据,在过去的 30 天里,基于以太坊的去中心化应用吸引了超过 100 万活跃用户。这一里程碑的到来正值人们对 DeFi 的兴趣重获新生,在 11 月的前半个月,用户数量增长了 11%。

欧易okex官网分析:比特币价格接近创历史新高的4个原因

导:由于以下四个关键原因,比特币价格有望创下历史新高。 今天早些时候,币安的比特币(BTC)价格近三年来首次达到18815美元。突破之后,比特币有望在短期内创下历史新高,原因有四个。 机构需求不断增长、抛压降低、现货推动的市场反弹以及突破18500美元阻力位的重要性,是有可能创造新高的因素。

[0:0ms0-3:284ms