DeFi借贷协议Akropolis重入攻击事件分析

近日，DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示，攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击，造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后，第一时间对本次攻击事件进行了调查，结果发现：

1、Akropolis确实遭到攻击

Coinbase：加密资产投资组合将包括BTC、ETH、PoS资产和DeFi代币:8月20日消息，Coinbase联合创始人兼首席执行官BrianArmstrong发推称，将在公司资产负债表上购买超过5亿美元的加密货币，而且还将把所有利润的10%投资于加密货币。随后据Coinbase官方博客披露，其资产负债表中将持有的多元化加密资产组合包括比特币、以太坊、权益证明（PoS）资产、DeFi代币和其他在其平台上交易的加密资产，也是第一家这么做的上市公司。随着加密经济的成熟，Coinbase可能会随着时间的推移增加加密资产组合分配。（Medium）[2021/8/20 22:26:16]

2、攻击合约地址为

0xe2307837524db8961c4541f943598654240bd62f

DeFi一周数据速览（1.26-2.1）:金色财经报道，据欧科云链OKLink数据显示，本周涨幅前五的币种为：BADGER 7日涨幅187.60%，锁仓量为11.5亿美元（+18.92%）；PNT 7日涨幅178%，锁仓量为540万美元（+6.30%）；DODO 7日涨幅123.20%，锁仓量为3262万美元（+72.68%）；Index Cooperative 7日涨幅113.40%，锁仓量为5494万美元（+21.46%），；1inch 7日涨幅90%，锁仓量为13.7亿美元（+45.32%），更多数据见下图。[2021/2/1 18:37:29]

3、攻击手法为重入攻击

4、攻击者获利约200万美元

攻击手法分析

通过对链上交易的分析，发现攻击者进行了两次铸币，如下图所示：

库币DeFi专区数据：DeFi项目整体回暖 LINK领涨66%:据库币KuCoin交易所DeFi专区数据显示，截止20日库币已上线COMP、AMPL、MKR、LINK等19个DeFi项目，共38个交易对。DeFi项目今日行情整体回暖，最新上线项目LINK领涨DeFi板块，24h小时涨幅超66%，现报价16.6USDT；AKRO 24h涨幅超8.8%，现报价0.026USDT；MKR 24h涨幅超2.9%，现报价661.6USDT；PLT、DIA、WAVES分别下跌10%、4%、2.8%。 库币数字货币交易所，为来自207个国家的500万用户提供币币、法币、合约、矿池、借贷等一站式服务。[2020/8/20]

动态 | DeFi项目锁仓达11亿美元，整体市场规模小幅下滑:据DAppTotal.com DeFi专题页面数据显示：截至目前，已统计的21个DeFi项目共计锁仓资金达11亿美元，其中EOSREX锁仓5.81亿美元，占比52.67%，排名第一位；Maker锁仓3.83亿美元，占比34.75%，排名第二位；Compound锁仓0.27亿美元，占比2.52%；Dharma、Bancor、Augur等其他DeFi类应用共占比10.06%。过去一周，整体而言：1、增速相对较快的DeFi项目有dYdX 、ETHLend、Nuo等；2、受ETH、EOS主流币种价格下跌影响，Maker、EOSREX等项目锁仓量和锁仓价值均有不同程度下滑；3、DeFi整体市场规模在一段时间的较快增长后，出现下滑趋势，总锁仓资金环比减少15.84%。[2019/6/10]

图一

图二

参考链接：https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示，攻击者仅调用了一次deposit函数，如下图所示：

图三

通过跟踪函数调用，成都链安团队发现，攻击者在调用合约的deposit时，将token设置为自己的攻击合约地址，在合约进行transferFrom时，调用的是用户指定的合约地址，如下图所示：

图四

通过分析代码发现，在调用deposit函数时，用户可指定token参数，如下图所示：

图五

而deposit函数调用中的depositToprotocol函数，存在调用tkn地址的safeTransferFrom函数的方法，这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

事件小结

Akropolis作为DeFi借贷、存储服务提供商，其存储部分使用的是Curve协议，这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI，而在耗尽这些池子前，共计窃取了价值200万美元的DAI。

在本次攻击事件中，黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中，资产存储池可谓是防守重点，作为项目方，对资金池的安全预防、保护措施应置于最优先级别。特别是，为应对黑客不断变化的攻击手段，定期全面检查和代码升级缺一不可。

最后，成都链安强烈呼吁，对于项目方而言，安全审计和定期检测切勿忘怀；对于投资者而言，应时刻不忘安全警戒，注意投资风险。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。