近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:
1、Akropolis确实遭到攻击
2、攻击合约地址为
Truflation CEO:加密货币威胁美元霸权地位,引起美国政府打击:3月28日消息,通胀数据聚合商Truflation首席执行官Stefan Rust表示,美国看起来一心想“杀死”加密货币。根据他的说法,主要是加密货币对美国在全球舞台上的主导地位构成威胁,挑战了美元的霸权地位,这就是推动美国打击加密货币的核心原因,FTX、Celcius或其他加密事件只是一个幌子。[2023/3/29 13:31:51]
0xe2307837524db8961c4541f943598654240bd62f
与FTX相关的Moonstone银行退出加密货币领域:金色财经报道,华盛顿州农村银行Moonstone Bank从FTX的姊妹公司Alameda Research获得了约1150万美元的投资,今天宣布它将退出加密货币领域并回归其作为社区银行的“最初使命”。(Cointelegraph)[2023/1/20 11:22:33]
3、攻击手法为重入攻击
4、攻击者获利约200万美元
Bitwise公布2022年8月月末加密指数重组结果:金色财经报道,Bitwise Index Services宣布了Bitwise Crypto Indexes的每月重组结果,该结果于 2022年8月31日美国东部时间下午4点进行。
由于2022年8月31日的重组,Cosmos (ATOM) 重新进入Bitwise10大盘加密指数,取代了Uniswap (UNI)。Convex Finance (CVX) 进入Bitwise Decentralized Finance Crypto Index指数,取代了 SushiSwap (SUSHI)。Cosmos (ATOM) 重新进入Bitwise 10 ex Bitcoin Large Cap Crypto Index指数,取代 Uniswap (UNI)。ApeCoin (APE) 进入Ball Multicoin Bitwise Metaverse Index指数,取代了 Somnium Space Cubes (CUBE)。
Bitwise Blue-Chip NFT Collections Index 每季度重组一次,因此截至 2022 年 8 月 31 日没有变化。[2022/9/2 13:03:26]
攻击手法分析
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
图一
图二
参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三
通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四
通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六
事件小结
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。
最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。