DeFi借贷协议Akropolis重入攻击事件分析

近日，DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示，攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击，造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后，第一时间对本次攻击事件进行了调查，结果发现：1、Akropolis确实遭到攻击2、攻击合约地址为0xe2307837524db8961c4541f943598654240bd62f3、攻击手法为重入攻击4、攻击者获利约200万美元攻击手法分析

JGNDeFi 已上线BabySwap 农场、双币质押及交易挖矿池:据官方消息，北京时间2月3日JGNDeFi 已上线BabySwap 农场、双币质押及交易挖矿池。用户可在BabySwap挖矿获取收益，质押 JGN-USDT 赚取 BABY；交易 JGN-USDT 赚取 BABY；质押 BABY 赚取 JGN。

JGN是一个具有DeFi 基础设施的 Metaverse NFT 2.0 项目。当前JGN已经获得高盛集团（加拿大）、澳大利亚SFIP基金、币安 “种子基金”、软银集团（UK）、LD Capital等多家机构战略投资。[2022/2/4 9:30:14]

通过对链上交易的分析，发现攻击者进行了两次铸币，如下图所示：

DeFi 概念板块今日平均跌幅为8.15%:金色财经行情显示，DeFi 概念板块今日平均跌幅为8.15%。47个币种中3个上涨，44个下跌，其中领涨币种为：CRV(+5.46%)、TRB(+1.75%)。领跌币种为：NEST(-18.13%)、RSR(-15.92%)、IDEX(-14.65%)。[2021/10/28 21:04:15]

DeFi平台Lepricon.io将于3月17日上线Uniswap:DeFi平台Lepricon.io在推特上宣布，Uniswap将于3月17日开启其L3P代币交易，具体上线时间即将公布。据介绍，Lepricon.io是游戏化DeFi，流动性池和预测平台（以及游戏和NFT）。[2021/3/2 18:08:13]

图一

Value DeFi协议：已完成对Governance Vault v2的审计:Value DeFi协议在推特上宣布，Arcadia Group已完成对Governance Vault v2的审计。[2020/10/28]

图二参考链接：https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2但据oko.palkeo.com交易调用情况显示，攻击者仅调用了一次deposit函数，如下图所示：

图三通过跟踪函数调用，成都链安团队发现，攻击者在调用合约的deposit时，将token设置为自己的攻击合约地址，在合约进行transferFrom时，调用的是用户指定的合约地址，如下图所示：

图四通过分析代码发现，在调用deposit函数时，用户可指定token参数，如下图所示：

图五而deposit函数调用中的depositToprotocol函数，存在调用tkn地址的safeTransferFrom函数的方法，这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六事件小结

Akropolis作为DeFi借贷、存储服务提供商，其存储部分使用的是Curve协议，这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI，而在耗尽这些池子前，共计窃取了价值200万美元的DAI。在本次攻击事件中，黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中，资产存储池可谓是防守重点，作为项目方，对资金池的安全预防、保护措施应置于最优先级别。特别是，为应对黑客不断变化的攻击手段，定期全面检查和代码升级缺一不可。最后，成都链安强烈呼吁，对于项目方而言，安全审计和定期检测切勿忘怀；对于投资者而言，应时刻不忘安全警戒，注意投资风险。

标签：EFIDEFDEFIJGNNRGY DefiTower Defense TitansChargeDeFi Chargejgn币最新消息

欧易交易所app下载热门资讯