近日,DeFi借貸協議Akropolis遭到網絡黑客的攻擊。Akropolis創始人兼首席執行官AnaAndrianova表示,攻擊者利用在衍生品平臺dYdX的閃電貸進行重入攻擊,造成了200萬美元的損失。
成都鏈安團隊在接到自主獨立研發的區塊鏈安全態勢感知平臺報警后,第一時間對本次攻擊事件進行了調查,結果發現:
1、Akropolis確實遭到攻擊
DeFi挑戰指數今日為1.24‰,挑戰評級2級:金色財經報道,據同伴客數據顯示,06月22日DeFi挑戰指數為1.24‰,較上一周下降0.39‰,挑戰評級為2級。注:挑戰指數是DeFi市場的鎖倉量與華爾街前五大資管機構AUM的比值,用以反映DeFi生態與傳統市場的相對體量。[2021/6/22 23:57:08]
2、攻擊合約地址為
0xe2307837524db8961c4541f943598654240bd62f
3、攻擊手法為重入攻擊
OKEx CEO Jay Hao:OKExChain通過八大特色技術為DeFi保駕護航:1月15日晚,OKExChain主網上線發布會正式啟動。OKEx CEO Jay Hao在演講中表示,未來去中心化金融服務的用戶體驗一定可以達到現在中心化金融服務的程度,同時去中心化開放金融可以讓用戶對自己的資產有100%的掌控。
據Jay Hao透露,為了實現這一目標,OKExChain通過獨有的八大特色技術提供保障:高性能交易公鏈、完全的去中心化、開放性、極致的兼容性、跨鏈網關、社區驅動、支持現貨&衍生品交易、跨平臺。[2021/1/15 16:16:29]
4、攻擊者獲利約200萬美元
Gate.io USDT鎖倉理財-DeFi流動性挖礦賺USDT僅剩22%倉位:據官方公告,Gate.io USDT鎖倉理財DeFi流動性挖礦僅剩22%倉位。Gate.io將于明日12:00同時開啟國慶中秋7天樂4場福利-BTC/ETH/USDT/DeFi流動性挖礦賺高收益理財。
Gate.io理財寶今日DeFi鎖倉三大專區含各大主流幣種與熱門幣種理財項目,詳情點擊原文鏈接。[2020/9/30]
攻擊手法分析
通過對鏈上交易的分析,發現攻擊者進行了兩次鑄幣,如下圖所示:
HyperPay Kolidat Min:DeFi擁堵的核心原因是以太坊容量不夠:8月5日下午,深圳區塊鏈國際周,HyperPay錢包技術VP Kolidat Min在“DeFi的今天與明天”主題圓桌論壇上表示,DeFi擁堵的核心原因是以太坊容量不夠。以太坊2.0、波卡這些優質的項目將有很大的機會。然而,從長期來看,DeFi可能會轉移到架構更好的項目,并不一定要基于以太坊。DeFi項目多基于以太坊區塊鏈,而以太坊智能合約的安全性并沒有得到大規模認證。現在的技術還不能做到百分百發現漏洞。
Kolidat建議,用戶參與DeFi推薦HyperPay錢包,它采用了TSS+HSM技術來保證用戶的密鑰安全,無需信任平臺,徹底保障資金安全;第二,選擇經過歷史檢驗、長時間運行未出過安全事故、同時經過嚴格合約審計的項目,最大化降低風險。[2020/8/5]
圖一
圖二
參考鏈接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
但據oko.palkeo.com交易調用情況顯示,攻擊者僅調用了一次deposit函數,如下圖所示:
圖三
通過跟蹤函數調用,成都鏈安團隊發現,攻擊者在調用合約的deposit時,將token設置為自己的攻擊合約地址,在合約進行transferFrom時,調用的是用戶指定的合約地址,如下圖所示:
圖四
通過分析代碼發現,在調用deposit函數時,用戶可指定token參數,如下圖所示:
圖五
而deposit函數調用中的depositToprotocol函數,存在調用tkn地址的safeTransferFrom函數的方法,這就使得攻擊者可以通過構造“safeTransferFrom”從而進行重入攻擊。
圖六
事件小結
Akropolis作為DeFi借貸、存儲服務提供商,其存儲部分使用的是Curve協議,這在當天早些時候的攻擊中曾被利用。攻擊者從該項目的yCurve和sUSD池中取出了5萬美元的DAI,而在耗盡這些池子前,共計竊取了價值200萬美元的DAI。
在本次攻擊事件中,黑客使用重入攻擊配合dYdX閃電貸對存儲池發起了侵占。在協議中,資產存儲池可謂是防守重點,作為項目方,對資金池的安全預防、保護措施應置于最優先級別。特別是,為應對黑客不斷變化的攻擊手段,定期全面檢查和代碼升級缺一不可。
最后,成都鏈安強烈呼吁,對于項目方而言,安全審計和定期檢測切勿忘懷;對于投資者而言,應時刻不忘安全警戒,注意投資風險。
據Coindesk上周報道,以太坊2.0的存款合同已生效,預示著“世界計算機”第二幕即將揭幕。根據開發人員發布的消息,存款合約作為即將到來的PoS鏈和當前PoW主鏈之間的橋梁,按市值計算其價值約.
1900/1/1 0:00:00根據美國證券交易委員會(SEC)周一發布的公告,擬議中的改革將協調、簡化過于復雜的證券發行框架,使公司更容易進行股票發行,同時仍能保護投資者.
1900/1/1 0:00:00事件經過 北京時間2020年11月11日下午,以太坊社區知名的節點服務Infura被曝出API服務出錯,并因此導致了多個依賴于Infura來構建的服務的崩潰,或者前端顯示不正確.
1900/1/1 0:00:00今日資訊: 據官方消息,截至11月06日,灰度資產管理總規模突破90億美元,達91億美元。比特幣信托基金交易價格為每份額17.54美元,較前一日上漲1.62%;以太坊信托基金交易價格為每份額60.
1900/1/1 0:00:00「美國市場應當說是加密貨幣行業最容易的市場,有規范和詳細的法規政策,交易所在這個范圍按部就班地執行并不難做。」曾擔任火幣美國CEO、現任分布式資本執行董事的傅圣芳告訴鏈捕手.
1900/1/1 0:00:00過去的一周中,比特幣的漲勢仍在繼續,在突破18000美元之后,比特幣下一個目標將是20000美元附近的歷史高點.
1900/1/1 0:00:00