首页项目动态文章详细

DeFi假贷和谈Akropolis重入打击变乱剖析
  • 项目动态

成都链安2020-11-22 15:44:34 113
摘要:DeFi假贷和谈Akropolis受到收集黑客的打击。

克日,DeFi假贷和谈Akropolis受到收集黑客的打击。Akropolis首创人兼首席实行官Ana Andrianova表现,打击者使用正在衍生品平台dYdX的闪电贷举行重入打击,形成了200万美圆的丧失。

image.png

成都链安团队正在接到自立自力研发的区块链平安态势感知平台(Beosin-Eagle Eye)报警后,第临时间对于本次打击变乱举行了观察,效果发明:

1、Akropolis的确受到打击

二、打击合约地点为0xe2307837524db8961c4541f943598654240bd62f

三、打击伎俩为重入打击

四、打击者赢利约200万美圆

打击伎俩剖析

经过对于链上生意业务的剖析,发明打击者举行了两次铸币,以下图所示:

image.png

(图1)

image.png

(图2)

(参考链接:https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2)

但据oko.palkeo.com生意业务挪用环境表现,打击者仅挪用了一次deposit函数,以下图所示:

image.png

(图3)

经过跟踪函数挪用,成都链安团队发明,打击者正在挪用合约的deposit时,将token配置为本身的打击合约地点,正在合约举行transferFrom时,挪用的是用户指定的合约地点,以下图所示:

image.png

(图4)

经过剖析代码发明,正在挪用deposit函数时,用户可指定token参数,以下图所示:

image.png

(图5)

而deposit函数挪用中的depositToprotocol 函数,存正在挪用 tkn 地点的safeTransferFrom函数的办法,这就使患上打击者能够经过结构“safeTransferFrom”从而举行了重入打击。

image.png

(图6)

变乱小结

Akropolis作为DeFi假贷、存储效劳供给商,其存储部门利用的是Curve和谈,这正在当天早些时间的打击中曾经被使用。打击者从该名目的yCurve以及sUSD池中掏出了5万美圆的DAI,而正在耗尽这些池子前,合计盗取了代价200万美圆的DAI。

正在本次打击变乱中,黑客利用重入打击共同dYdX闪电贷对于存储池倡议了陵犯。正在和谈中,资产存储池堪称是防卫重点,作为名目方,对于资金池的平安防备、掩护步伐应置于最优先级别。特殊是,为应答黑客不停变革的打击本领,活期片面查抄以及代码晋级缺一不成。

末了,成都链安猛烈号令,关于名目方而言,平安审计以及活期检测切勿忘记;关于投资者而言,合时刻没有忘平安戒备,留意投资危害。





本文标题:DeFi假贷和谈Akropolis重入打击变乱剖析  文章来自网络收集整理,文章观点不代表 【HI币圈导航 】观点,不构成投资建议!若有侵权或不实内容请联系客服处理,转载请标明出处!

快审站点推荐

发表评论

  • * 评论内容:
  •  

精彩评论

  • 无任何评论信息!
打赏本站
欢迎投稿
欢迎投稿
风险提示
交易平台 行情数据 区块查询 挖矿矿池 资讯门户 极客社区 基础公链 匿名隐私 跨链侧链 平台币类 区块链钱包 应用分发 区块链资讯 快注册自助提交
火币交易所