DEF:DeFi借贷协议Akropolis重入攻击事件分析

近日，DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示，攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击，造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后，第一时间对本次攻击事件进行了调查，结果发现：

1、Akropolis确实遭到攻击

SEC专员：新提案可能赋予SEC监管加密、Defi平台的广泛权力:金色财经报道，美国证券交易委员会上周提出了对 ATS 监管范围内“重要的国债市场平台”进行监管的修正案。这份 654 页的提案旨在“为交易政府证券、NMS （国家市场系统）股票和其他证券的替代交易系统 (ATS) 扩展 ATS 监管。它还提议“将监管 SCI 扩展到交易政府证券的 ATS，并修改SEC关于‘交易所’定义的规则，以解决监管漏洞。

美国证券交易委员会 (SEC) 专员 Hester Peirce 专员警告称，虽然该提案没有提及加密，但它可能赋予官员全面审查加密货币平台的新权力，包括去中心化金融 (defi) 协议。该提案包括非常广泛的语言，连同主席对监管所有加密货币的明显兴趣，表明它可用于监管加密平台。（news.bitcoin）[2022/2/5 9:32:35]

2、攻击合约地址为

Fantom链上DeFi总锁仓量突破58亿美元，创历史新高:1月4日消息，据DefiLlama数据显示，当前Fantom链上DeFi总锁仓量达58.4亿美元，创历史新高。目前，Fantom链上DeFi总锁仓量低于以太坊（1588.4亿美元）、Terra（190.4亿美元）、BSC（164.3亿美元）、Avalanche（120.9亿美元）、Solana（115亿美元），公链中排名第6位。[2022/1/4 8:24:18]

0xe2307837524db8961c4541f943598654240bd62f

3、攻击手法为重入攻击

4、攻击者获利约200万美元

攻击手法分析

通过对链上交易的分析，发现攻击者进行了两次铸币，如下图所示：

贝恩资本董事总经理：DeFi将主导未来的金融模式:10月13日消息，贝恩资本（Bain Capital）董事总经理Matt Harris在SIBOS会议上表示，DeFi将主导未来的金融模式。他概述了金融服务的三个根本性变化，首先是从模拟到数字的转变，然后是从离散产品到嵌入式服务的演进，最后将迎来从中心化平台到去中心化网络的颠覆性变革。而随着加密货币和web 3进入主流，这场完整革命的最后一部分已经走上轨道。他说：到2040年，我们将在很大程度上结束目前法定货币的不良交易局面，即我们将资本免费提供给政府，然后让政府利用通货膨胀让资本贬值。DeFi将改变这一局面，我们的资产将始终处于100%的投资状态，并会通过稳定币机制完全联系在一起。（Ledger Insights）[2021/10/13 20:24:57]

Gate.io今日12点上线DeFi理财YFI锁仓挖矿:据官方公告，“Gate.io理财宝”将于1月8日（今日）12:00上线《DeFi理财YFI锁仓挖矿14天（浮动利率）》认购，总额度35 YFI，锁仓期限14天，年化收益率为浮动利率，利息每日发放。详情见Gate.io“理财宝”。[2021/1/8 16:43:33]

图一

图二

参考链接：https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示，攻击者仅调用了一次deposit函数，如下图所示：

图三

通过跟踪函数调用，成都链安团队发现，攻击者在调用合约的deposit时，将token设置为自己的攻击合约地址，在合约进行transferFrom时，调用的是用户指定的合约地址，如下图所示：

图四

通过分析代码发现，在调用deposit函数时，用户可指定token参数，如下图所示：

图五

而deposit函数调用中的depositToprotocol函数，存在调用tkn地址的safeTransferFrom函数的方法，这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

事件小结

Akropolis作为DeFi借贷、存储服务提供商，其存储部分使用的是Curve协议，这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI，而在耗尽这些池子前，共计窃取了价值200万美元的DAI。

在本次攻击事件中，黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中，资产存储池可谓是防守重点，作为项目方，对资金池的安全预防、保护措施应置于最优先级别。特别是，为应对黑客不断变化的攻击手段，定期全面检查和代码升级缺一不可。

最后，成都链安强烈呼吁，对于项目方而言，安全审计和定期检测切勿忘怀；对于投资者而言，应时刻不忘安全警戒，注意投资风险。

标签：DEFDEFIEFIDEPOxDEF2DeFi11Define

以太坊交易所热门资讯