AD
DeFi已经停不下来了!以太坊的金融“大厦”在逐渐成型
老一批“以太坊杀手”已然从人们的记忆中消失殆尽
近日,DeFi借贷协定Akropolis遭到收集黑客的进击。Akropolis创始人兼首席执行官Ana Andrianova示意,进击者应用在衍生品平台dYdX的闪电贷举行重入进击,造成了200万美元的丧失。
成都链安团队在接到自立自力研发的区块链平安态势感知平台(Beosin-Eagle Eye)报警后,第一时间对本次进击事宜举行了观察,效果发明:
1、Akropolis确切遭到进击
2、进击合约地点为
0xe2307837524db8961c4541f943598654240bd62f
3、进击手腕为重入进击
4、进击者赢利约200万美元
进击手腕剖析
经由过程对链上生意业务的剖析,发明进击者举行了两次铸币,如下图所示:
图一
图二
参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但据oko.palkeo.com生意业务挪用状况显现,进击者仅挪用了一次deposit函数,如下图所示:
图三
经由过程跟踪函数挪用,成都链安团队发明,进击者在挪用合约的deposit时,将token设置为本身的进击合约地点,在合约举行transferFrom时,挪用的是用户指定的合约地点,如下图所示:
图四
经由过程剖析代码发明,在挪用deposit函数时,用户可指定token参数,如下图所示:
图五
而deposit函数挪用中的depositToprotocol 函数,存在挪用 tkn 地点的safeTransferFrom函数的要领,这就使得进击者能够经由过程组织“safeTransferFrom”从而举行重入进击。
图六
事宜小结
Akropolis作为DeFi借贷、存储效劳提供商,其存储部份运用的是Curve协定,这在当天早些时候的进击中曾被应用。进击者从该项目标yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,总计窃取了代价200万美元的DAI。
在本次进击事宜中,黑客运用重入进击合营dYdX闪电贷对存储池发起了侵犯。在协定中,资产存储池可谓是戍守重点,作为项目方,对资金池的平安防备、保护措施应置于最优先级别。特别是,为应对黑客不停变化的进击手腕,按期周全搜检和代码升级缺一不可。
末了,成都链安强烈呼吁,关于项目方而言,平安审计和按期检测切勿忘记;关于投资者而言,应时候不忘平安警惕,注重投资风险。
加入新手交流群:每天早盘分析、币种行情分析
添加助理微信,一对一专业指导:chengqing930520
上一篇:报告 | 国际区块链政策、羁系重点及趋向剖析
加入新手交流群:每天早盘分析、币种行情分析,添加助理微信
一对一专业指导:chengqing930520
最新资讯
