宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > MANA > 正文

无中生有?DeFi 协议 Akropolis 重入攻击简析

作者:

时间:1900/1/1 0:00:00

By:慢雾安全团队

11月13日,据CoinDesk消息,Akropolis协议遭受黑客攻击,损失约200万DAI,慢雾安全团队已于当天第一时间介入分析,并将结论同步给了相关关心方。以下为慢雾安全团队对此事件的简要分析,供大家参考。

背景提要

Akropolis是运行在以太坊上的借贷和存款协议,用户可以使用Akropolis进行借贷或在Akropolis存款收取借贷利息。

攻击流程简析

1.攻击者使用自己创建的token进行deposit,此时Akropolis合约会先记录一次合约中所有代币的总量;

2.Akropolis合约调用用户自己创建的token的transferFrom函数的时候,攻击者在transferFrom函数中重入Akropolis合约的deposit函数,并转入DAI到Akropolis合约中;

法兰西银行行长:需要国际合作来监管加密集团:金色财经报道,法兰西银行行长Fran?ois Villeroy de Galhau周五在巴黎举行的VivaTech活动上表示,需要国际合作来监管加密集团。?Villeroy称,在一个司法管辖区监管一个法律实体是不够的,在美国,加密货币公司拥有在不同司法管辖区运营的各种法律实体,因此需要国际合作。虽然Villeroy强调欧盟在加密监管方面处于领先地位,但可能需要新版本的欧盟监管MiCA 2来应对加密集团。

加密货币借贷、DeFi和NFT 代币都超出了MiCA的范围,导致包括欧洲央行行长在内的一些人士已经呼吁建立MiCA 2。DeFi只是一项新技术,你有使用这种技术提供金融服务的行为者,他们就需要受到监管。同样的行动,同样的风险,同样的规则,[2023/6/16 21:42:34]

3.此时在重入的交易中,由于Akropolis合约会先获取合约中所有代币的总量,这个值和第一次调用deposit函数获取的合约代币总量的值一致;

Fallon律师:Jimmy Fallon与Yuga Labs和Ripps案无关:金色财经报道,Jimmy Fallon律师表示,虽然Fallon获得了 BAYC NFT 并在他的节目中谈论了该系列,但他与 Yuga Labs 和 Ripps 案无关。在周一提交给法庭的文件中,Fallon的律师要求发出传票,要求这位喜剧演员就 Yuga Labs 诉 Ripps 等人一案作证,案件被撤销。

非常成功的 NFT 系列 Bored Ape Yacht Club (BAYC) 的创建者 Yuga Labs 正在起诉 Ryder Ripps 和 Jeremy Cahen 发行山寨版BAYC NFT 系列,Yuga Labs起诉他们商标侵权、虚假广告和不正当竞争?。[2023/3/8 12:48:27]

4.Akropolis合约计算充值前后合约中代币总量的差值,攻击者在充值DAI后,会得到一定量的Delphitoken,获得token的数量就是充值DAI的数量;

ZigZag计划在zkSync 2.0主网上线后推出ZigZag DAO:9月23日消息,据官方推特,zkSync生态DEX ZigZag宣布其计划在zkSync 2.0主网上线后推出ZigZag DAO。这是因为目前的zkSync 1.0没有能够支持DAO治理体系的基础设施,而在以太坊主网部署DAO则将为参与者造成大量费用。[2022/9/23 7:15:49]

5.铸币完成后,流程回到第一次deposit往下继续执行,这时合约会再次获取合约中所有代币的总量,这时由于在重入交易时,攻击者已经转入一定量的DAI,所以得到的代币总余额就是攻击者在重入交易完成后的代币总余额;

6.此时合约再次计算差值,由于第一次deposit的时候合约中所有代币的总量已经保存,此时计算出来的差值和重入交易中计算的差值一致,Akropolis合约再次铸币给攻击者。

MM.Finance与Multichain达成合作,现已支持资产跨链至Polygon:据MM.Finance官方推特,已与Multichain达成合作,现已允许用户将资产从Cronos跨链至Polygon,以便在DawnStar Finance上进行质押。[2022/8/30 12:56:25]

总结

攻击者使用自己构造的token,对Akropolis合约的deposit函数进行重入,导致Akropolis合约使用相同的差值铸币了两次,但是只触发了一次转账,当攻击者提现的时候,就可以提两倍的收益,从而获利。

相关链接:

(1)CoinDesk关于Akropolis合约被攻击的报道:

https://www.coindesk.com/defi-project-akropolis-token-pool-drained

(2)分析样本:

https://etherscan.io/tx/0x3db8d4618aa3b97eeb3af01f01692897d14f2da090d5d6407f550a1b10c15133

往期回顾

BithumbGlobal入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」

Web3大会|慢雾:区块链安全,永无止境的战争

慢雾:Harvest.Finance被黑事件简析

慢雾参与国家标准研究项目《区块链服务技术安全要求》编制

慢雾:DeFiSaver用户的31万枚DAI是如何被盗的?

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

链闻号

https://www.chainnews.com/u/958260692213.htm

本文来源于非小号媒体平台:

慢雾科技

现已在非小号资讯平台发布68篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/9558992.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

币安为何推出第三条链?这对BNB意味着什么?

标签:POLAKROAkropolisKROpolkadottedtieakro币价格Akropolis DelphiSILKROAD

MANA热门资讯
ASICBOOST 再起风波:亿邦获独家授权 神马三星被起诉 回顾专利乱战历史

“神马当年选择与ASICBOOST站在一起,没想到最终却第一个被ASICBOOST诉上法庭”。11月30日吴说区块链独家披露,亿邦宣布已自专利人CircleLineInternational处已获得ASICBOOST韩国专利的独家使用.

1900/1/1 0:00:00
Filecoin挖矿:造成预期产币量与现实之间的巨大差距的原因

Filecoin主网已经在10月15日上线,但从上线之后的表现来看,并不如太空竞赛期间,这也是市场上出现对Filecoin的负面评价的主要来源.

1900/1/1 0:00:00
关于完成UFC主网切换并开放充提的公告

尊敬的EXX用户: ???EXX已完成UFC主网切换,用户在EXX平台的UFC资产已切换为UFC主网资产,平台现已开放UFC的充值和提币业务.

1900/1/1 0:00:00
ZT交易平台与Candaq 达成战略合作,助力波卡生态发展

12月16日下午,由Candaq、MXC极域、链读、PolkaBase联合主办,ZT总冠名的国内首次「波卡生态海外项目专场见面会」在杭州如期举办。本次活动是国内首次以海外波卡生态为主题的分享会.

1900/1/1 0:00:00
FTX创始人SBF 将与V神及Haseeb Qureshi直播分享「数字资产与慈善捐赠」

新加坡时间12月23日上午9点,FTX的首席执行官SamBankman-Fried,以太坊创始人VitalikButerin和蜻蜓资本执行合伙人HaseebQureshi,将在圣诞假期到来前相聚.

1900/1/1 0:00:00
Web3.0 迎来拐点:从底层走向应用

对于大部分在圈外围观的用户来说,现在的Web3.0粗糙的就像当初人们用指令集操作运行在大型机上的Linux。而正因如此,Web3.0也必然会经历从Linux指令集大型机到Windos视窗操作小型化PC的转化.

1900/1/1 0:00:00