火星链 火星链
Ctrl+D收藏火星链
首页 > 币安币 > 正文

AMP:DeFi借贷协议Akropolis遭受重入攻击 损失200万美元

作者:

时间:1900/1/1 0:00:00

近日,DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示,攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击,造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后,第一时间对本次攻击事件进行了调查,结果发现:

1、Akropolis确实遭到攻击

2、攻击合约地址为

IOST链上首个跨链质押流动性挖矿项目RampDeFi将于今日正式上线:据官方消息,IOST链上首个跨链质押流动性挖矿项目RampDeFi将于北京时间2020年12月9日晚正式上线。跨链质押流动性挖矿rStake是IOST节点合伙人RampDeFi开创的一项创新机制,将实现IOST一币三挖,即用户在RampDeFi智能合约中质押IOST可同时获得IOST、RAMP(已上线gate.io、MXC抹茶、Bibox等交易平台)奖励,同时在挖矿过程中获得的稳定币还可以用于投资以太坊上新的 DeFi 项目、交易或者兑换成法定货币等,从而跨链打通IOST与以太坊生态。

RAMP DEFI致力于成为一种最具影响力的去中心化金融解决方案,从质押的数字资产中释放流动资金。以RAMP DEFI 的解决方案,用户既能获得质押收益,保持原有的资产,还可以进一步解锁出资金,提升资金效率。[2020/12/9 14:42:53]

0xe2307837524db8961c4541f943598654240bd62f

观点:Aave是目前最好的DeFi协议之一:8月25日消息,DTC Capital投资者负责人Spencer Noon发推称,Aave是目前最好的DeFi协议之一。即使Aave没有运行流动性挖矿计划,该项目中仍有价值近12.5亿美元的数字资产被锁定。产品与市场高度契合,并且基本面强劲。 对冲基金Multicoin Capital Management LLC联合创始人Kyle Samani转发其推文称,如果他在接下来的两年中仅需持有一项资产,他会选择LEND。(fxstreet)[2020/8/25]

3、攻击手法为重入攻击

观点:基于比特币构建DeFi很困难,或因其安全性以及缺乏生态系统:比特币被当作金融系统替代品,但Atomic Loans CTO Matthew Black称,其大部分活动依赖去中心化交易所和中心化借贷平台。他指出,对这些加密银行的依赖使得其用户和其他人一样面临托管风险。

以太坊也被称为无银行货币系统,通过MakerDAO和Compound等DeFi项目超越中心化加密银行。DeFi获得巨大增长,成为以太坊生态系统最重要贡献者之一。但在比特币上很难实现同样目标。Black认为,部分原因与比特币的安全构建方式有关,无需担心以太坊上那样的智能合约黑客。这使得在比特币基础上进行构建的任务变得困难,而缺乏在BTC上构建金融应用程序的生态系统,使其变得麻烦。“如果没有MetaMask或Web3生态系统,构建比特币和DeFi的门户就更难了。”有人尝试在Bitcoin DeFi进行原子互换交易,但因UI/UX问题无法获得足够吸引力。尽管代币化BTC已是很好的应用,交易量也在增加,但系统并不完美。

在BTC基础上建设很困难,但社区期待比特币生态系统能使其更独立。目前很难实现仅基于BTC的DeFi,但如果有庞大的生态系统,可能会更容易。(AMBCrypto)[2020/7/25]

4、攻击者获利约200万美元

攻击手法分析

通过对链上交易的分析,发现攻击者进行了两次铸币,如下图所示:

图一

图二

参考链接:

https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示,攻击者仅调用了一次deposit函数,如下图所示:

图三

通过跟踪函数调用,成都链安团队发现,攻击者在调用合约的deposit时,将token设置为自己的攻击合约地址,在合约进行transferFrom时,调用的是用户指定的合约地址,如下图所示:

图四

通过分析代码发现,在调用deposit函数时,用户可指定token参数,如下图所示:

图五

而deposit函数调用中的depositToprotocol函数,存在调用tkn地址的safeTransferFrom函数的方法,这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

事件小结

Akropolis作为DeFi借贷、存储服务提供商,其存储部分使用的是Curve协议,这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI,而在耗尽这些池子前,共计窃取了价值200万美元的DAI。

在本次攻击事件中,黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中,资产存储池可谓是防守重点,作为项目方,对资金池的安全预防、保护措施应置于最优先级别。特别是,为应对黑客不断变化的攻击手段,定期全面检查和代码升级缺一不可。

最后,成都链安强烈呼吁,对于项目方而言,安全审计和定期检测切勿忘怀;对于投资者而言,应时刻不忘安全警戒,注意投资风险。

标签:EFIDEFIDEFAMPRio DeFiValuedefi vSWAPModefiCHAMPS价格

币安币热门资讯
USD:薪火言币:11.13比特币站稳16000后蓄势,能冲上17000吗

各位朋友们,你们好,我是薪火,跟着我的客户都是做了很久的,不是我带他们赚了多少,而是我用心在指导,毫无保留的教技术,经常熬夜盯盘。深夜致电告知客户出场或进单.

1900/1/1 0:00:00
ETH:【热点】当BTC牛市时,哪些概念的币种会跟涨?

美国大选纷争还未落下帷幕,拜登已经开始任命顾问审视政府各个机构的运作,特朗普则忙着诉讼多个关键州的选票有违规行为......无论是否让几个州重新计票,应该都不会出现大的反转.

1900/1/1 0:00:00
TBI:Hotbit 定于11月17日上线 AZUKI (DokiDokiAzuki)

尊敬的用户,Hotbit即将开启AZUKI(DokiDokiAzuki)数字资产服务并开放AZUKI理财产品。预计年化收益:10%;计息:T1.

1900/1/1 0:00:00
OIN:2020年全球加密ATM机数量大幅增长!

2013年,一家名为Robocoin的公司在温哥华的一家咖啡店放置了一台机器,世界上首次出现了比特币ATM机.

1900/1/1 0:00:00
比特币:一枚比特币为什么值十万元?手机是怎么挖比特币的?

掐指一算,比特币诞生都十二年了。如果说过去十二年里,有什么“商品”实现了真正的保值增值,猪肉和房屋或许成绩亮眼。但排第一的绝对是比特币.

1900/1/1 0:00:00
DEFI:七家单位联合成立DeFi爱好者社区,共同推动DeFi领域的应用研究

11月12日,在中国未来区块链创新中心,DeFi爱好者社区宣告成立。该社区以期通过社区的组织形态,召集真正关注行业、热爱DeFi的同路人,携手行业老将、新秀,一起成为参与者,建设者,一起来探索D.

1900/1/1 0:00:00