近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:
1、Akropolis确实遭到攻击
2、攻击合约地址为
DeFi 概念板块今日平均跌幅为0.80%:金色财经行情显示,DeFi 概念板块今日平均跌幅为0.80%。47个币种中21个上涨,26个下跌,其中领涨币种为:AMPL(+11.31%)、ZRX(+9.45%)、LINK(+9.08%)。领跌币种为:FOR(-13.85%)、SWFTC(-9.71%)、LBA(-9.15%)。[2021/4/14 20:16:42]
0xe2307837524db8961c4541f943598654240bd62f
独家 | Compound锁仓金额跌破6亿美元 SNX位列DeFi Token总市值第二位:据DappBirds DeFi Data专题数据显示,Compound锁仓金额跌破6亿美元,SNX持续强势上涨,位列DeFi Token总市值第二位,DeFi中锁定资产总价值达33.75亿美元,较昨日下降1.03%,其中Maker,Compound,Synthetix,Aave,Curve分别以6.26亿美元,5.79亿美元,4.39亿美元,4.28亿美元,2.65亿美元位列前五名;DeFi Token总市值98.31亿美元,较昨日上涨1.74%。[2020/7/21]
3、攻击手法为重入攻击
动态 | DeFi周报:DeFi项目锁仓价值9.4亿美元,过去一周环比减少4.12%:据DAppTotal.com DeFi专题页面数据显示:截至目前,已统计的33个DeFi项目共计锁仓资金达9.4亿美元,其中Maker锁仓3.3亿美元,占比35.11%,排名第一位;EOSREX锁仓2.13亿美元,占比22.71%,排名第二位;排名第三位的是Edgeware锁仓1.2亿美元,占比12.85%;Compound,Synthetix、dYdX、Nuo等其他DeFi类应用共占比29.33%。截至目前,ETH锁仓总量达358万,占ETH市场总流通量的3.29%,EOS锁仓总量达8,381万个,占EOS市场总流通量的8.06%。过去一周,整体而言:1、Maker降低了Sai债务上限至9,500万,提高了Dai存款利率至4%,持续引导用户升级多抵押Dai;2、受EOS网络拥堵影响,用户提币需求较大,EOSREX中EOS锁仓量较12月01日锐减了979万枚;3、DeFi项目整体锁仓价值较上周环比减少了4.12%。[2019/12/9]
4、攻击者获利约200万美元
攻击手法分析
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
图一
图二
参考链接:
https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三
通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四
通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六
事件小结
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。
最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。