近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:
1、Akropolis确实遭到攻击
2、攻击合约地址为
美SEC主席:加密领域实际上相当中心化:金色财经报道,美国证券交易委员会主席Gary Gensler表示,美国联邦法官上周对一个备受瞩目的执法案件做出决定后,美国SEC是否会起草更多针对加密货币的规则,现在还为时过早。美国SEC在其任期内已经提出了适用于数字资产的规则修改建议。关于证券交易所、经纪人和投资顾问的含义,书本上都有规定。我们还提出甚至通过了有关经纪商的规则,在这个领域被称为特殊目的经纪商,我们提出了有关资产保护的规则,所以我们已经做了一些,但我们会继续考虑。
此外,Gensler表示,加密领域实际上相当中心化,去中心化项目有时会有个人拥有首席执行官或首席技术官的头衔,而资产通常由不到100人持有,金融趋向于某种程度的集中化。
Gensler拒绝直接就Ripple案发表评论,理由是“诉讼仍在进行中”。[2023/7/18 11:01:06]
0xe2307837524db8961c4541f943598654240bd62f
美财长耶伦:未建议彻底禁止加密活动,但需建立强有力的监管框架:金色财经报道,美国财政部长耶伦表示,没有建议彻底禁止加密活动,但对于建立强有力的监管框架至关重要。[2023/2/25 12:29:25]
3、攻击手法为重入攻击
4、攻击者获利约200万美元
攻击手法分析
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
图一
欧盟委员会:欧盟国家要做好停止加密货币挖矿的准备:10月18日消息,欧盟委员会周二表示,欧盟成员国必须准备好阻止加密货币挖矿,因为该地区由于俄罗斯的天然气供应中断可能存在能源价格上涨、停电或电力短缺等问题。从长远来看,终止税收减免和其他有利于某些成员国目前实施的加密矿工的财政措施也至关重要。
该委员会表示,加密技术的能源消耗在五年内增加了900%,约占全球用电量的0.4%,并承诺到2025年再提交一份关于该主题的报告,建议采取进一步措施减少加密技术的能耗。(CoinDesk)[2022/10/18 17:31:12]
图二
参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三
通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四
通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六
事件小结
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。
最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。