EFI:DeFi借贷协议Akropolis重入攻击事件分析

近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:1、Akropolis确实遭到攻击2、攻击合约地址为0xe2307837524db8961c4541f943598654240bd62f3、攻击手法为重入攻击4、攻击者获利约200万美元攻击手法分析

Index Coop从8月起将BadgerDAO纳入DPI DeFi指数:Index Coop从8月起将 BadgerDAO纳入DPI DeFi指数,BADGER是基于以太坊的比特币收益协议BadgerDAO的治理代币。(Cointelegraph)[2021/6/28 0:11:40]

通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:

图一

DeFi基准利率今日为6.84%:金色财经报道,据同伴客数据显示,05月25日DeFi去中心化金融基准利率为6.84%,较前一日下跌0.48%。同期美国国债抵押回购率(Repo Rate)为0.01%,二者利率差为6.83%。

DeFi基准利率代表了DeFi融资难易程度,利率越高说明融资成本越高,利率越低说明融资成本越低。其与Repo Rate的利率差则便于DeFi与传统市场作进行同类比较。[2021/5/25 22:42:12]

当前以太坊 DeFi 协议中总锁仓量突破90亿美元:金色财经报道,DeBank数据显示,以太坊 DeFi 协议总锁仓量突破90亿美元大关,达92.24亿美元,具体来看,Aave以15亿美元排在首位、Maker锁定资产总价值14亿美元暂居第二、Curve锁定资产总价值为13亿美元位居第三。Synthetix、yearn分别以9.45亿美元和8.53亿美元位居第四、第五名。

注:总锁仓量(TVL)是衡量一个DeFi项目使用规模时最重要的指标,通过计算所有锁定在该项目智能合约中的ETH及各类ERC-20代币的总价值(美元)之和而得到。[2020/8/29]

图二参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:

图三通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:

图四通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:

图五而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六事件小结

Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

FilecoinDEFI:DeFi新玩法:3分钟了解1inch V2的新特性

编者按:本文来自巴比特资讯,作者:1inch,编译:隔夜的粥,星球日报经授权发布。11月6日消息,去中心化交易所(DEX)聚合服务商1inch今日宣布推出V2版本协议,据悉,这一新版本的主要亮点.

[0:15ms0-0:840ms