近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:
1、Akropolis确实遭到攻击
2、攻击合约地址为
CZZ 工程师彭松: Defi会逐渐转向打磨现有产品,在产品创新上发力:在9月24日16:00币赢举办的第三期《共识52》AMA活动中,CZZ 工程师彭松表示:Defi的发展经历了一段抢占快速收益期,确实有很多暴富效应,但更多带来了很多人对Defi的不信任,比如币价暴跌与挖提卖的影响,这里面的投机资金也比较大,更多的设计还是方便资金大户,而散户没有参与感,也就造成了Defi的降温,经过这段时间的疯狂,后面的Defi会逐渐转向打磨现有产品,比如CZZ,开源地址是https://github.com/classzz, 在创新的基础上增加了门槛,结合POW+Defi。另外Defi的未来会推进跨链技术的发展,在这几个月应该很多人体验到了BTC、DOGE等这些大资产也都进来的很少,都是跨链的限制,另外各种公链的稳定币兑换也还没有出来,Defi也将会促进这些技术的发展。[2020/9/24]
0xe2307837524db8961c4541f943598654240bd62f
火币七爷:DeFi 发展与币价并不完全关联,要关注泡沫化风险:在8月28日举行的数字资产投资策略论坛上,火币全球站CEO七爷表示,从今年6月至今,用户的热情和参与度随着DeFi 市场项目的热度越来越高。DeFi 的兴起盘活了整个市场,也带动了BTC、ETH等主流币的上涨。
整体来讲,七爷对新一轮基础设施提升带来的2020年后市比较看好。此外,DeFi 资产热门之余,也要关注到泡沫化带来的风险。因为DeFi 在高速发展的同时,与DeFi 币的涨跌并不是完全关联。此前,一些交易平台在没弄明白DeFi 是什么的前提下强行参与DeFi ,造成了 CRV从188 USDT跌至3 USDT的行业重大事故。[2020/8/28]
3、攻击手法为重入攻击
声音 | DeFi. NYC发起人:Dai的60天波动率创历史新低:DeFi. NYC发起人Cole Kennelly发推称,数据显示,Dai的60天波动率创下历史新低。[2019/9/29]
4、攻击者获利约200万美元
攻击手法分析
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
图一
图二
参考链接:
https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三
通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四
通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六
事件小结
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。
最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。