近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:
1、Akropolis确实遭到攻击
DeFi借贷协议Alchemix alETH池疑似出现漏洞,该池已暂停抵押借贷:官方消息,DeFi借贷协议?Alchemix alETH池疑似出现漏洞,用户在有未偿还的alETH债务时就可以提出抵押的ETH。目前团队已停止该池的抵押借贷并展开调查。[2021/6/16 23:42:13]
2、攻击合约地址为
0xe2307837524db8961c4541f943598654240bd62f
3、攻击手法为重入攻击
4、攻击者获利约200万美元
MDEX CTO SKY:用户在参与DeFi流动性挖矿时需要注意四点:4月1日下午,火币钱包联合金色财经举办了主题为《DeFi时代如何做更好用的钱包?》的线上AMA问答,在被问及如何看待使用 DeFi 协议和参与流动性挖矿面临的各种风险时,MDEX CTO SKY为用户给出以下四点建议:
首先,所有参与的协议必须是经过安全审计的,如果一个创新团队连审计都不愿意做,或者审计都没做好就要上线,这是非常危险的。
第二,合约开源,开源的合约以便更多社群用户对产品进行监督,如果有问题的合约也能更快找出问题及时补救。
第三,需要对投资标的本身进行审核衡量,要了解项目的具体操作方法,任何时候要有风险意识,投资如同开车,看前路,也要时不时看后视镜。
最后,如果可以最好有两个或多个钱包地址,用户可以将资产分散布局。[2021/4/1 19:38:00]
攻击手法分析
加密商务平台CoinLinked允许用户使用稳定币和DeFi代币在线购物:基于区块链的社交网络和加密商务平台CoinLinked提供假日促销活动,新功能允许人们在其最喜欢的在线零售商那里使用稳定币和DeFi代币购物。CoinLinked声称自己是第一个“允许消费者使用加密货币从世界各地的任何网站购买任何产品的平台和应用”。(Decrypt)[2020/12/2 22:54:40]
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
动态 | 2019年USDC在DeFi平台借贷额达5000万美元 法币支持的稳定币中位居第一:Loan Scan数据显示,稳定币USDC今年在 3 大 DeFi 平台Compound、Dharma和dYdX平台上借贷额已达5000万美元,是今年以来DeFi中借贷发行量最多的法币支持的稳定币。今年以来,这些平台上发放的贷款中,约有十分之一是用USDC计价的,以USDC作为抵押的资产规模超过1.46亿美元。[2019/11/7]
图一
图二
参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三
通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四
通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六
事件小结
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。
最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。