宇宙链 宇宙链
Ctrl+D收藏宇宙链

DeFi借贷协议Akropolis重入攻击事件分析

作者:

时间:1900/1/1 0:00:00

近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:1、Akropolis确实遭到攻击2、攻击合约地址为0xe2307837524db8961c4541f943598654240bd62f3、攻击手法为重入攻击4、攻击者获利约200万美元攻击手法分析

JGNDeFi 已上线BabySwap 农场、双币质押及交易挖矿池:据官方消息,北京时间2月3日JGNDeFi 已上线BabySwap 农场、双币质押及交易挖矿池。用户可在BabySwap挖矿获取收益,质押 JGN-USDT 赚取 BABY;交易 JGN-USDT 赚取 BABY;质押 BABY 赚取 JGN。

JGN是一个具有DeFi 基础设施的 Metaverse NFT 2.0 项目。当前JGN已经获得高盛集团(加拿大)、澳大利亚SFIP基金、币安 “种子基金”、软银集团(UK)、LD Capital等多家机构战略投资。[2022/2/4 9:30:14]

通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:

DeFi 概念板块今日平均跌幅为8.15%:金色财经行情显示,DeFi 概念板块今日平均跌幅为8.15%。47个币种中3个上涨,44个下跌,其中领涨币种为:CRV(+5.46%)、TRB(+1.75%)。领跌币种为:NEST(-18.13%)、RSR(-15.92%)、IDEX(-14.65%)。[2021/10/28 21:04:15]

DeFi平台Lepricon.io将于3月17日上线Uniswap:DeFi平台Lepricon.io在推特上宣布,Uniswap将于3月17日开启其L3P代币交易,具体上线时间即将公布。据介绍,Lepricon.io是游戏化DeFi,流动性池和预测平台(以及游戏和NFT)。[2021/3/2 18:08:13]

图一

Value DeFi协议:已完成对Governance Vault v2的审计:Value DeFi协议在推特上宣布,Arcadia Group已完成对Governance Vault v2的审计。[2020/10/28]

图二参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:

图三通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:

图四通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:

图五而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六事件小结

Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。

标签:EFIDEFDEFIJGNNRGY DefiTower Defense TitansChargeDeFi Chargejgn币最新消息

欧易交易所app下载热门资讯
Chain Hill Capital:剖析灰度背后的金主

本文系ChainHillCapital首席策略师AnnHsu撰写,未经授权严禁转载,转载请联系ChainHillCapital仟峰资本公众号。截止2020年11月9日,根据已公开披露的信息,共有23家公司持有灰度比特币信托份额.

1900/1/1 0:00:00
Cred破产背后:曾做现金贷的联创挪用巨款,员工投资讨债无望

文|黎哲翁编辑|毕彤彤出品|PANews“千百年来,有几个生意模式一直没有变:菠菜、颜色与借贷。其中菠菜与颜色的长久依赖于对客户欲望的引诱,而借贷的永续更多仰仗放贷机构的自我品性与极端压力测试.

1900/1/1 0:00:00
3年52亿人民币,CoinList的前世今生

编者按:本文来自区块律动BlockBeats,Odaily星球日报经授权转载。全球最顶级的互联网公司,都是怎么找到投资人的?2010年6月17日,一位创业者用麻省理工的校友邮箱,将一封不足千字的邮件发送给了十余位潜在投资人.

1900/1/1 0:00:00
行情分析:ETH突破阻力位,BCH风险加大

本文来自:哈希派,作者:哈希派分析团队,星球日报经授权转发。金色财经合约行情分析 | BTC历史第三次减半,市场分歧加大:据火币BTC永续合约行情显示,截至今日16:00(GMT+8),BTC价格暂报8655美元(-0.14%),20.

1900/1/1 0:00:00
信贷增长可能将加密货币市场推高1500%

加密货币在上世纪80年代的日本牛市撕下一页。在那段时间里,日本的经济增长非常迅猛,它的土地价值是美国的四倍。以日经指数衡量,日本股市从1970年到1990年上涨了1520%。东京皇宫的标价比整个加州还要高.

1900/1/1 0:00:00
PayPal的加密野心:不止加密货币交易和支付服务

编者按:本文来自金色财经,Odaily星球日报经授权转载。全球支付巨头PayPal的高管在该公司2020年第三季度财报电话会议上透露了2021年大举进军加密领域的更多细节,包括支持央行数字货币(CBDC)的计划.

1900/1/1 0:00:00