近日,DeFi借貸協議Akropolis遭到網絡黑客的攻擊。Akropolis創始人兼首席執行官AnaAndrianova表示,攻擊者利用在衍生品平臺dYdX的閃電貸進行重入攻擊,造成了200萬美元的損失。
成都鏈安團隊在接到自主獨立研發的區塊鏈安全態勢感知平臺報警后,第一時間對本次攻擊事件進行了調查,結果發現:
1、Akropolis確實遭到攻擊
2、攻擊合約地址為
衍生品交易平臺Syndr成為首個Arbitrum Orbit Chain生態DeFi協議:6月26日消息,衍生品交易平臺Syndr日前宣布基于Arbitrum Layer3 Orbit Chain推出測試網,并成為首個Arbitrum Orbit Chain生態DeFi協議。Syndr將利用L3 Rollup鏈具有的高性能,高擴展性為用戶提供低延遲的衍生品交易平臺。[2023/6/26 22:00:14]
0xe2307837524db8961c4541f943598654240bd62f
Pantera Capital聯合首席投資官:DeFi是金融的未來:2月15日消息,專注于區塊鏈的投資公司Pantera Capital Management LP聯合首席投資官Joey Krug在其公司最新月度通訊中解釋他如何“99.9%相信DeFi是金融的未來”。“當你使用DeFi時,你會意識到金融永遠不會倒退。當我意識到這確實是未來的發展方向時,是在2020年……直到去年,我才99.9%地相信DeFi是金融的未來。(Cryptoglobe)[2021/2/15 19:49:29]
3、攻擊手法為重入攻擊
MXC抹茶上線EQL-DeFi挖礦產品 1000 ETH認購額度32秒售罄:據官方消息,10月5日20:00,MXC抹茶上線EQL-DeFi挖礦產品,1000 ETH認購額度32秒售罄。據了解,本期EQL-DeFi挖礦產品支持鎖倉ETH挖EQL(Equalizer),最低起投額度0.05 ETH,總額度1000 ETH。此外,MXC抹茶將推出無常損失代償制度,參與期間若因流動性挖礦發生無常損失,MXC抹茶礦池將用該項目盈利沖抵;若盈利不足以沖抵,則損失由礦池備用基金代用戶償付。[2020/10/5]
4、攻擊者獲利約200萬美元
攻擊手法分析
通過對鏈上交易的分析,發現攻擊者進行了兩次鑄幣,如下圖所示:
圖一
圖二
參考鏈接:
https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但據oko.palkeo.com交易調用情況顯示,攻擊者僅調用了一次deposit函數,如下圖所示:
圖三
通過跟蹤函數調用,成都鏈安團隊發現,攻擊者在調用合約的deposit時,將token設置為自己的攻擊合約地址,在合約進行transferFrom時,調用的是用戶指定的合約地址,如下圖所示:
圖四
通過分析代碼發現,在調用deposit函數時,用戶可指定token參數,如下圖所示:
圖五
而deposit函數調用中的depositToprotocol函數,存在調用tkn地址的safeTransferFrom函數的方法,這就使得攻擊者可以通過構造“safeTransferFrom”從而進行重入攻擊。
圖六
事件小結
Akropolis作為DeFi借貸、存儲服務提供商,其存儲部分使用的是Curve協議,這在當天早些時候的攻擊中曾被利用。攻擊者從該項目的yCurve和sUSD池中取出了5萬美元的DAI,而在耗盡這些池子前,共計竊取了價值200萬美元的DAI。
在本次攻擊事件中,黑客使用重入攻擊配合dYdX閃電貸對存儲池發起了侵占。在協議中,資產存儲池可謂是防守重點,作為項目方,對資金池的安全預防、保護措施應置于最優先級別。特別是,為應對黑客不斷變化的攻擊手段,定期全面檢查和代碼升級缺一不可。
最后,成都鏈安強烈呼吁,對于項目方而言,安全審計和定期檢測切勿忘懷;對于投資者而言,應時刻不忘安全警戒,注意投資風險。
Tags:DEFDEFIEFIETHpinetworkdefi幣最新消息Yearn DeFi ForkDeFiDropethicality
據Coindesk報道,資產管理平臺ZapperFinance宣布獲得來自DelphiDigital和CoinbaseVentures的種子擴展輪投資,具體金額未披露.
1900/1/1 0:00:00高交會現場:眾多區塊鏈項目亮相,“家譜鏈”驚艷全場素有“中國科技第一展”之稱的中國國際高新技術成果交易會(以下簡稱“高交會”)昨日在深圳會展中心隆重開幕.
1900/1/1 0:00:00鏈聞消息,據EWN報道,加密貨幣平臺Bakkt的比特幣和加密貨幣應用程序已對早期注冊者開放,并要求提供反饋,當前功能包括美元現金存取款、忠誠度和獎勵積分匯總以及比特幣交易.
1900/1/1 0:00:00從“螞蟻金服”暫緩上市說起過去的一兩個星期里面,金融行業發生了一件震天動地的大事:螞蟻集團實際控制人馬云在上海外灘金融峰會上面發表了一個講話,隨后螞蟻集團就被四部門聯合約談.
1900/1/1 0:00:00尊敬的用戶: Hotbit即將開啟YFO(YFIONE)數字資產服務,具體上線時間等待后續官方公告! 項目名稱:YFIONE 簡稱:YFO 項目簡介: YFIONE是一個社區驅動的DeFi項目.
1900/1/1 0:00:00目前,許多Fileocin參加者想通過挖掘Fil通證直接完成財富提升,這在于2個要素,第一個要素是參加者手上有多少Fil量,依照現階段挖掘狀況和釋放體制看,這一量會非常少.
1900/1/1 0:00:00