月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 瑞波币 > 正文

EFI:DeFi借贷协议Akropolis重入攻击事件分析_DEFI

作者:

时间:1900/1/1 0:00:00

近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:

1、Akropolis确实遭到攻击

Ankr Network联合创始人:多链是DeFi产品的新必需品:11月20日消息,位于旧金山Web 3.0的基础设施公司Ankr Network,其联合创始人兼首席执行官Chandler Song表示,Web3.0将是一个多链世界,获胜的DeFi项目将是那些连接尽可能多的区块链的项目。尽管构建多链存在障碍和额外困难,但它对DeFi产品未来的成功至关重要。Web 3.0上不可能有孤立的产品,项目需要强大且相互关联的基础设施,才能在当前经济环境中有效地宣传自己。(cointelegraph)[2021/11/20 7:01:22]

2、攻击合约地址为

0xe2307837524db8961c4541f943598654240bd62f

3、攻击手法为重入攻击

DeFi协议总锁仓量为1119.9亿美元:8月23日消息,据DeBank最新数据显示,DeFi协议总锁仓量已经突破1119.9亿美元(净锁仓量为827.1亿美元),当前锁仓金额排名前五的DeFi协议分别是Maker(122亿美元)、BSC(118亿美元)、AaveV2(117亿美元)、Curve(115亿美元)、Compound(113亿美元)。[2021/8/29 22:44:56]

4、攻击者获利约200万美元

攻击手法分析

通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:

DeFi真实锁仓量首次突破100亿美元:据DeBank数据显示DeFi真实锁仓量首次突破100亿美元,本文撰写时为101.1亿美元,DeFi 生态的一般会参考总锁仓量(TVL)数据作为最重要的指标,但是由于部分资产通过再抵押会产生重复计算的问题,真实锁仓量数据会排除“内生资产”或“衍生代币”,只计算 ETH、USDC、USDT、平台币等真实资产。目前真实锁仓量排名前三的DeFi协议分别是:1、Uniswap V2:22亿美元;2、WBTC:19亿美元;3、Maker:16亿美元。[2020/11/7 11:54:23]

图一

Messari前主管:2021年前的DeFi是每十年一次的投资机会:Messari前主管、股票及加密货币交易员Qiao Wang发推称,从投资的角度来看,2013年前的BTC和2015年前的ETH是一生一次的不对称投资。在我看来,2021年前的DeFi是每十年一次的投资机会(在被证明有误之前是这样)。如果你错过了前两个,千万不要错过后一个。过去两个月出现了很多垃圾,但不要被这些分散了注意力。尝试十几个真正的产品,你将更好地了解DeFi是如何实现全新而有趣的用户行为的。[2020/9/9]

图二

参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:

图三

通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:

图四

通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:

图五

而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

事件小结

Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。

在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。

最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。

标签:EFIDEFIDEFDEPEFI币DefinixUnidefDEPAY

瑞波币热门资讯
以太坊:十组数据告诉你,以太坊你不知道的事_MAY

周一以太坊突破两年来新高,到达609美元,旋即回落至570美元附近。我们一直在关注以太坊的动向,在以太坊存款合约满足限制之后,接下来即将于12月1日开启漫长的以太坊2.0上线里程.

1900/1/1 0:00:00
ETH:科普 | 一文读懂以太坊改进提案EIP-1559_GAS

DeFi破千上万的年化收益率,在已经过去的第三季度疯狂地拉升着Ethereum的GasPrice,从年初的20GWei,在Uniswap给大家空投iPhone12后突破1000GWei.

1900/1/1 0:00:00
BTC:Glassnode丨链上数据表明:BTC 还有很大增长空间?_NODE

作者:LieslEichholz翻译:OliviaBTC继续其令人印象深刻的连胜势头,在过去的一周里达到了1.5万美元,几乎没有放缓的迹象.

1900/1/1 0:00:00
比特币:观点 | 比特币价格在12月初可能会出现大幅波动_Zen Panda Coin

12月1日,在周线和月线收盘后,比特币(BTC)的价格将面临两大关键事件。即将到来的周线尤其值得注意,因为这可能是自9月下旬以来的第一个红色周线.

1900/1/1 0:00:00
比特币:闷声发大财!比特币矿企股票年内平均回报率已超300%_AIN

原文:Crypto?Briefing,原文作者:NiveshRustgi译者:Odaily星球日报念银思唐摘要:-比特币矿企股票年初至今的平均回报率为327%.

1900/1/1 0:00:00
区块链:技术视点 | 适配器:波卡和ETH2.0两大公链IP造就的机会真空地带_rETH2币

今年下半年波卡和ETH2.0的巨大进展掀起了新一轮的公链热潮,而在DeFi退潮的大背景下,这两大公链IP成为了保持行业热度的重要支撑点.

1900/1/1 0:00:00