近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:1、Akropolis确实遭到攻击2、攻击合约地址为0xe2307837524db8961c4541f943598654240bd62f3、攻击手法为重入攻击4、攻击者获利约200万美元攻击手法分析
YFX荣获波场TRON 2021全球DeFi Hackathon开发者大赛第一名:据官方消息,“波场TRON 2021全球DeFi Hackathon开发者大赛”首批获奖名单已经公布,历经全球百余个优秀项目的激烈角逐,以及大赛专家组、社区意见领袖、大众评审团的投票评比,跨链去中心化永续合约交易平台YFX脱颖而出,荣获大赛第一名,获得20万美金奖励。 据悉,YFX创世挖矿(第二阶段)将于4月6日20:00启动,将有3,000,000个YFX 通过“交易挖矿、流动性挖矿、交易大赛、邀请挖矿”的方式分配给社区用户,并在以太坊ETH(layer2 xDai)、火币生态链Heco、波场TRON、币安智能链BSC同时开启。
YFX是一个基于以太坊、波场、币安智能链、火币生态链、OKEx公链、波卡的跨链去中心化永续合约交易平台,提供高达100倍永续合约交易BTC、ETH等资产。YFX已经成功支持以太坊layer2的永续合约交易功能,为用户提供更快的交易速度和更低廉的Gas服务。[2021/4/2 19:41:33]
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
YFI创始人:通过DeFi协议激励机制过分赚取收益将阻碍开发者建设:DeFi衍生品平台Synthetix创始人Kain Warwick在推特表示:“我对那些通过建立DeFi协议而赚大钱的人没有意见。如果我们想要吸引那些在金融科技糟糕的TradFi覆盖层中苦苦挣扎的了不起的创始人,我们需要强大的激励机制把它们转换成加密货币。”yearn.finance创始人Andre Cronje则回复称:“激励机制应该是一致的/公平的吗?通过克隆别人的作品,仅靠不到两周的工作就能获得150万美元的临时收入,这似乎很难达成共识。如果是这样,我是否应该停止开发,除非人们付给我每件产品300万美元?”随后他再次发推表示:“如果投票通过了,我们就有优先权了。创始人/团队会开始期望这成为规范,如果不是,他们就不会构建协议。这种现状比ICO时代严重得多,我认为这将阻碍开发者建设。“[2020/9/12]
Hubble Chain CEO:项目三大核心战略与DeFi有很多契合点:3月20日,在DeFi2020全球区块链金融高峰论坛暨HUBBLE CHAIN亚太战略发布会上,Hubble Chain CEO Alex Silva为数千位观众现场解读Hubble Chain三大战略布局。Alex Silva表示,Hubble Chain三大核心战略与DeFi有很多的契合点,Hubble Chain将从DeFi吸取养分,持续为每一阶段的区块链智能金融体系搭建良好的生态基础。Hubble Chain是拥有去中心化交易系统的公链,以智能挖矿、智能中心、智能孵化器三步战略为核心,全面打造区块链金融新生态。[2020/3/20]
图一
图二参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六事件小结
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。