EFI:DeFi借贷协议Akropolis重入攻击事件分析_DEFI

近日，DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示，攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击，造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后，第一时间对本次攻击事件进行了调查，结果发现：

1、Akropolis确实遭到攻击

Ankr Network联合创始人：多链是DeFi产品的新必需品:11月20日消息，位于旧金山Web 3.0的基础设施公司Ankr Network，其联合创始人兼首席执行官Chandler Song表示，Web3.0将是一个多链世界，获胜的DeFi项目将是那些连接尽可能多的区块链的项目。尽管构建多链存在障碍和额外困难，但它对DeFi产品未来的成功至关重要。Web 3.0上不可能有孤立的产品，项目需要强大且相互关联的基础设施，才能在当前经济环境中有效地宣传自己。（cointelegraph）[2021/11/20 7:01:22]

2、攻击合约地址为

0xe2307837524db8961c4541f943598654240bd62f

3、攻击手法为重入攻击

DeFi协议总锁仓量为1119.9亿美元:8月23日消息，据DeBank最新数据显示，DeFi协议总锁仓量已经突破1119.9亿美元（净锁仓量为827.1亿美元），当前锁仓金额排名前五的DeFi协议分别是Maker（122亿美元）、BSC（118亿美元）、AaveV2（117亿美元）、Curve（115亿美元）、Compound（113亿美元）。[2021/8/29 22:44:56]

4、攻击者获利约200万美元

攻击手法分析

通过对链上交易的分析，发现攻击者进行了两次铸币，如下图所示：

DeFi真实锁仓量首次突破100亿美元:据DeBank数据显示DeFi真实锁仓量首次突破100亿美元，本文撰写时为101.1亿美元，DeFi 生态的一般会参考总锁仓量（TVL）数据作为最重要的指标，但是由于部分资产通过再抵押会产生重复计算的问题，真实锁仓量数据会排除“内生资产”或“衍生代币”，只计算 ETH、USDC、USDT、平台币等真实资产。目前真实锁仓量排名前三的DeFi协议分别是：1、Uniswap V2：22亿美元；2、WBTC：19亿美元；3、Maker：16亿美元。[2020/11/7 11:54:23]

图一

Messari前主管：2021年前的DeFi是每十年一次的投资机会:Messari前主管、股票及加密货币交易员Qiao Wang发推称，从投资的角度来看，2013年前的BTC和2015年前的ETH是一生一次的不对称投资。在我看来，2021年前的DeFi是每十年一次的投资机会（在被证明有误之前是这样）。如果你错过了前两个，千万不要错过后一个。过去两个月出现了很多垃圾，但不要被这些分散了注意力。尝试十几个真正的产品，你将更好地了解DeFi是如何实现全新而有趣的用户行为的。[2020/9/9]

图二

参考链接：https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示，攻击者仅调用了一次deposit函数，如下图所示：

图三

通过跟踪函数调用，成都链安团队发现，攻击者在调用合约的deposit时，将token设置为自己的攻击合约地址，在合约进行transferFrom时，调用的是用户指定的合约地址，如下图所示：

图四

通过分析代码发现，在调用deposit函数时，用户可指定token参数，如下图所示：

图五

而deposit函数调用中的depositToprotocol函数，存在调用tkn地址的safeTransferFrom函数的方法，这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

事件小结

Akropolis作为DeFi借贷、存储服务提供商，其存储部分使用的是Curve协议，这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI，而在耗尽这些池子前，共计窃取了价值200万美元的DAI。

在本次攻击事件中，黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中，资产存储池可谓是防守重点，作为项目方，对资金池的安全预防、保护措施应置于最优先级别。特别是，为应对黑客不断变化的攻击手段，定期全面检查和代码升级缺一不可。

最后，成都链安强烈呼吁，对于项目方而言，安全审计和定期检测切勿忘怀；对于投资者而言，应时刻不忘安全警戒，注意投资风险。

标签：EFIDEFIDEFDEPEFI币DefinixUnidefDEPAY

瑞波币热门资讯