CRE:DeFi借贷协议Akropolis重入攻击事件分析_BitMEX

近日，DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示，攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击，造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后，第一时间对本次攻击事件进行了调查，结果发现：

1、Akropolis确实遭到攻击

蓝筹NFT集体反弹，多个系列一日涨幅超10%:8月25日消息，Blur数据显示，蓝筹NFT集体反弹，多个系列单日涨幅超10%，其中部分蓝筹NFT详细数据如下：

BAYC地板价24.6 ETH，单日涨幅3.02%；

MAYC地板价5.05 ETH，单日涨幅9.31%；

Azuki地板价4.4 ETH，单日涨幅13.7%；

DeGods地板价4.25 ETH，单日涨幅15.8%；

Pudgy Penguins地板价4.07 ETH，单日涨幅10.3%。[2023/8/25 10:02:47]

2、攻击合约地址为

Sui生态项目Mobius将基于LayerZero转型为全链（Omnichain）协议:6月29日消息，Sui生态NFT交易市场Mobius Protocol发推称，将基于LayerZero转型为全链（Omnichain）协议。Mobius Protocol还提到，此前在Sui生态系统的旅程是一次有学习意义的经历，项目获得了宝贵经验，但也意识到了一些促使该项目寻求变革的潜在风险。

此前消息，Sui团队故意谎报释放量，并且正通过币安抛售通过“锁定”和“非流通”的质押SUI获得的奖励。[2023/6/29 22:06:57]

0xe2307837524db8961c4541f943598654240bd62f

BitMEX将面向香港用户推出BitMEX Hong Kong:5月22日消息，加密货币交易平台BitMEX将面向香港用户推出BitMEXHongKong，作为申请香港虚拟资产服务提供商（VASP）时的过渡服务。

BitMEX表示，2023年5月29日起，香港用户将无法访问BitMEX网站或API，之后所有账户余额将转移至BitMEX HongKong账户，用户需通过新的BitMEX HongKong移动应用访问这些服务。

此外，自2023年5月29日起，现有的BitMEX交易平台将不再接受任何新的香港用户，香港用户将只能通过专用的BitMEX HongKong移动应用开立账户。[2023/5/22 15:18:31]

3、攻击手法为重入攻击

印度尼西亚政府通过NFT来保护文化遗产:金色财经报道，印度尼西亚旅游和创意经济部负责数字经济和创意产品的副主席 Muhammad Neil El Himam?表示，最近与 Quantum Temple（一家使用 NFT 进行保存的隐私公司）建立了合作伙伴关系，以帮助维护该国的文化遗产。Himam 解释说，NFT 可以确保遗产可以不受限制地保存和创造，我相信 NFT 可以在促进虚拟旅游的同时为保护印度尼西亚的文化遗产做出贡献。NFT 也可能是将下一个十亿用户引入加密空间的媒介，特别是如果文化遗产的 NFT 元素广为人知并受到赞赏。[2023/3/30 13:35:57]

4、攻击者获利约200万美元

攻击手法分析

通过对链上交易的分析，发现攻击者进行了两次铸币，如下图所示：

图一

图二

参考链接：https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示，攻击者仅调用了一次deposit函数，如下图所示：

图三

通过跟踪函数调用，成都链安团队发现，攻击者在调用合约的deposit时，将token设置为自己的攻击合约地址，在合约进行transferFrom时，调用的是用户指定的合约地址，如下图所示：

图四

通过分析代码发现，在调用deposit函数时，用户可指定token参数，如下图所示：

图五

而deposit函数调用中的depositToprotocol函数，存在调用tkn地址的safeTransferFrom函数的方法，这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

事件小结

Akropolis作为DeFi借贷、存储服务提供商，其存储部分使用的是Curve协议，这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI，而在耗尽这些池子前，共计窃取了价值200万美元的DAI。

在本次攻击事件中，黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中，资产存储池可谓是防守重点，作为项目方，对资金池的安全预防、保护措施应置于最优先级别。特别是，为应对黑客不断变化的攻击手段，定期全面检查和代码升级缺一不可。

最后，成都链安强烈呼吁，对于项目方而言，安全审计和定期检测切勿忘怀；对于投资者而言，应时刻不忘安全警戒，注意投资风险。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。