近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官Ana Andrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台(Beosin-Eagle Eye)报警后,第一时间对本次攻击事件进行了调查,结果发现:
1、Akropolis确实遭到攻击
2、攻击合约地址为
0xe2307837524db8961c4541f943598654240bd62f
Web3游戏初创公司GRID完成230万美元种子轮融资:金色财经消息,Web3游戏初创公司Gaming RevolutionforInternational Development(GRID)宣布已完成230万美元种子轮融资,本轮融资分为两部分完成,最初募集到130万美元初始融资,由11 Tribes Ventures和Blockchain Founders Fund(BFF)领投,Zell Capital、Realist Ventures、Formless Capital和Mask Network参投,之后又募集到100万美元融资,主要战略投资者包括Bill Ackman、BFF、11Tribes、Argo's Quest和一批天使投资人。GRID计划在2022年第三季度发布Web3视频游戏平台Breshna.io,帮助Web3游戏制造商将他们的想象力变为现实并为NFT社区创造更多实用性。(Einnews)[2022/6/6 4:06:29]
3、攻击手法为重入攻击
美联储主席鲍威尔:可以考虑提前几个月结束缩减购债计划:12月1日消息,鲍威尔在讲话中称,关于对通货膨胀的描述,是时候放弃“暂时”这个词了 。此外,他认为通胀上升的风险已经增加,物价上涨普遍与疫情造成的供应链中断有关。(鞭牛士)[2021/12/1 12:42:41]
4、攻击者获利约200万美元
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
图一
GUSDT今日正式开盘,最高涨幅达678.19%:据官方消息,新加坡WBF交易所行情站显示,平台币内币种GUSDT于12月18日14时正式开盘,开盘价格为1 USDT,涨幅高达678.19%,最高触及7.7819 USDT,现价格7.0998 USDT。
据悉,作为GIB环球投资数字银行平台生态币, GUSDT鉅达币可作为任何服务进行交互的初始货币,持有人将能够自由参与GIB环球投资数字银行未来提供的任何服务或产品。[2020/12/18 15:42:28]
图二
参考链接:
https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三
通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四
通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数调用中的depositToprotocol 函数,存在调用 tkn 地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。
最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。