近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。
成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:
1、Akropolis确实遭到攻击
Aptos生态DeFi协议Thala Labs宣布上线Thala测试网:2月25日消息,Aptos生态DeFi协议Thala Labs宣布Thala测试网已上线,包含两项核心产品:Move Dollar CDP vaults和ThalaSwap。此外,RWA特定抵押品和清算机制以及L0全链(Omnichain)可替代性功能正在积极研究中。
去年10月消息,Thala Labs宣布完成600万美元种子轮融资,ParaFi Capital、White Star Capital和Shima Capital共同领投,其他投资者包括Beco Capital、LedgerPrime、Saison Capital和Infinity Ventures Crypto。[2023/2/25 12:29:12]
2、攻击合约地址为
Polygon链上DeFi协议总锁仓量为16亿美元:金色财经报道,据DefiLlama数据显示,目前Polygon链上DeFi协议总锁仓量为16亿美元,24小时增加1.04%。锁仓资产排名前五分别为AAVE(4.45亿美元)、Quickswap(1.77亿美元)、Balancer(1.66亿美元)、Uniswap V3(1.1亿美元)、Curve(0.74亿美元)。[2023/1/30 11:35:57]
0xe2307837524db8961c4541f943598654240bd62f
3、攻击手法为重入攻击
4、攻击者获利约200万美元
攻击手法分析
通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:
报告:第二季度大型机构交易占DeFi交易的60%以上:9月8日消息,Chainalysis的一份最新报告显示,大型机构投资者在2021年第二季度DeFi交易中发挥了重要作用。报告指出,该季度大型机构交易(即1000万美元以上的交易)占DeFi交易的60%以上,而在所有加密货币交易的比例不到50%。事实上,随着银行和金融机构开始将资金投入加密货币市场,DeFi最近已经成为吸引大笔资金的主要因素。这一趋势可能表明,投资者对比特币相关投资产品的兴趣有所分散,大型股投资者希望利用不断扩大的DeFi领域。(Cointelegraph)[2021/9/8 23:10:16]
李世庚:IPFS落地后对于整个DeFi、甚至整个区块链行业都有非常大的利好:IPFS100.com现场报道,9月20日,由节点咨询主办,WAVES、金色财经、IPFS100联合主办的“DeFi崛起 引领矿业新思潮”共为创业者大会·鹭岛分论坛在厦门举行。
在圆桌讨论环节中,WAVES中国区负责人李世庚表示,关于DeFi已经讲了,短期来看一定有泡沫,而且泡沫破灭会很惨烈,目前来看DeFi很多项目是有泡沫的,也没有什么好说的。但是关于未来会有什么样的变局,或者未来DeFi整个发展方向会不会是完全革新性的方向,我的观点是很明确的。未来区块链的技术指标和各项性能,随着链本身的技术以及整个网络环境的提升,这是双方面的,一方面是现有的技术瓶颈被突破,另外一方面,网络的承载能力和一些硬件提升都会导致整个基础设施的升级,这就像最早的互联网时代只能看一个小说或听一个音乐,现在可以直接几秒钟下载两三个小时的电影。整个基础设施的升级会推动DeFi行业的发展,甚至是使得很多之前在DeFi产业做起来很困难的事,以后会变得很顺畅。举例,Uniswap其实真的使用很差,跟链本身的硬件基础有非常紧密的联系。所以我认为在更长时间维度看,包括IPFS落地应用之后,对于整个DeFi、甚至整个区块链行业都有非常大的利好。所以我还是看好未来DeFi变局是随着技术革新和产品本身、硬件网络的进步有越来越多的应用形态和用户体验。[2020/9/20]
图一
图二
参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:
图三
通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:
图四
通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。
图六
事件小结
Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。
最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。