元宇宙非小号金色财经交流群社区官网

Akropolis借贷协议遭受重入攻击:事件分析

浏览:127|时间:2023-08-07 03:46:41
近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,导致Akropolis遭受了200万美元的损失。

成都链安团队接到了自主研发的区块链安全监测平台(Beosin-EagleEye)的报警后,立即对这次攻击事件进行了调查,并得出以下结论:

1、Akropolis确实遭到了攻击。 2、攻击的合约地址是0xe2307837524db8961c4541f943598654240bd62f。 3、攻击采用的手法是重入攻击。 4、攻击者赚取了约200万美元的利润。

攻击手法的分析显示,攻击者进行了两次铸币操作,但根据oko.palkeo.com的交易调用显示,攻击者只调用了一次deposit函数。

通过追踪函数调用,成都链安团队发现,在攻击者调用deposit函数时,将token设置为了自己的攻击合约地址,并在合约进行transferFrom时,调用的是用户指定的合约地址。

分析代码后发现,在调用deposit函数时,用户可以指定token参数。而在deposit函数的调用中,存在调用tkn地址的safeTransferFrom函数的方法,这使得攻击者能够通过构造“safeTransferFrom”进行重入攻击。

Akropolis其存储部分使用的是Curve协议,这在攻击中被利用。攻击者从该项目的yCurve和sUSD池中窃取了5万美元的DAI,最终共计窃取了价值200万美元的DAI。

在本次攻击事件中,黑客使用重入攻击和dYdX闪电贷对存储池发起了侵占。作为项目方,对资金池的安全预防和保护措施应置于最优先级。定期全面检查和代码升级也是应对黑客不断变化的攻击手段的必要措施。

最后,成都链安团队强烈呼吁项目方进行安全审计和定期检测,并提醒投资者时刻保持安全警惕,注意投资风险。

op polis 借贷

本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
本站内容来源于互联网,如存在侵权及违规内容投诉邮箱( [email protected] )
皮卡丘 2021-2024© YangKaTie.Com All