链资讯 链资讯
Ctrl+D收藏链资讯
首页 > SHIB > 正文

Akropolis:无中生有?DeFi 协议 Akropolis 重入攻击简析_akro币漏洞

作者:

时间:

By:慢雾安全团队

11月13日,据CoinDesk消息,Akropolis协议遭受黑客攻击,损失约200万DAI,慢雾安全团队已于当天第一时间介入分析,并将结论同步给了相关关心方。以下为慢雾安全团队对此事件的简要分析,供大家参考。

背景提要

Akropolis是运行在以太坊上的借贷和存款协议,用户可以使用Akropolis进行借贷或在Akropolis存款收取借贷利息。

攻击流程简析

1.攻击者使用自己创建的token进行deposit,此时Akropolis合约会先记录一次合约中所有代币的总量;

2.Akropolis合约调用用户自己创建的token的transferFrom函数的时候,攻击者在transferFrom函数中重入Akropolis合约的deposit函数,并转入DAI到Akropolis合约中;

3.此时在重入的交易中,由于Akropolis合约会先获取合约中所有代币的总量,这个值和第一次调用deposit函数获取的合约代币总量的值一致;

4.Akropolis合约计算充值前后合约中代币总量的差值,攻击者在充值DAI后,会得到一定量的Delphitoken,获得token的数量就是充值DAI的数量;

5.铸币完成后,流程回到第一次deposit往下继续执行,这时合约会再次获取合约中所有代币的总量,这时由于在重入交易时,攻击者已经转入一定量的DAI,所以得到的代币总余额就是攻击者在重入交易完成后的代币总余额;

6.此时合约再次计算差值,由于第一次deposit的时候合约中所有代币的总量已经保存,此时计算出来的差值和重入交易中计算的差值一致,Akropolis合约再次铸币给攻击者。

总结

攻击者使用自己构造的token,对Akropolis合约的deposit函数进行重入,导致Akropolis合约使用相同的差值铸币了两次,但是只触发了一次转账,当攻击者提现的时候,就可以提两倍的收益,从而获利。

相关链接:

(1)CoinDesk关于Akropolis合约被攻击的报道:

https://www.coindesk.com/defi-project-akropolis-token-pool-drained

(2)分析样本:

https://etherscan.io/tx/0x3db8d4618aa3b97eeb3af01f01692897d14f2da090d5d6407f550a1b10c15133

往期回顾

BithumbGlobal入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」

Web3大会|慢雾:区块链安全,永无止境的战争

慢雾:Harvest.Finance被黑事件简析

慢雾参与国家标准研究项目《区块链服务技术安全要求》编制

慢雾:DeFiSaver用户的31万枚DAI是如何被盗的?

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

链闻号

https://www.chainnews.com/u/958260692213.htm

本文来源于非小号媒体平台:

慢雾科技

现已在非小号资讯平台发布68篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/9558992.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

币安为何推出第三条链?这对BNB意味着什么?

标签:AkropolisPOLISAKROPOLIAkropolis Delphiakro币漏洞

SHIB热门资讯
TPS:关于ZBG平台延迟开放WMC/USDT交易的公告_ffi币价格今日行情

公告编号2020122201各位关心ZBG的投资者们和项目方:应项目方需求,WMC/USDT将延迟至HKT2020年12月22日15:00开放交易,请投资人和项目方提前做好交易准备.

CIA:什么是最低限度的可爱产品?设计师为什么要关心呢?_TER

产品设计师最担心的问题之一就是担心创建没人愿意使用的产品。那么,如何将产品故障的风险降到最低?答案很简单-花时间建立最低限度的产品以与目标用户一起验证产品.

MVP:IPFS/Filecoin存在的必然性,时代发展使然丨星际数据_COI

随着社会和科学技术的发展,新生事物取代旧有事物是必然的趋势,正所谓时代的磨盘碾来,谁也无法难抵挡。就比如胶卷相机必定将被数码相机最后被手机取代;传统的书信通信会被短信和微信聊天取代.

USD:欢度圣诞,GUSDT温暖送礼_USDT

尊敬的用户: 欢度圣诞,喜迎新年,为庆祝GUSDT上线WBF交易所,WBF联合GUSDT项目方开展“欢度圣诞,温暖献礼”活动.

稳定币:DeFi 观察 | 稳定币是连接虚拟与现实的桥梁_DeFinomics

2020年作为DeFi元年,一轮DeFi大潮来的很突然也很意外,它的引爆点由6月COMP治理代币上线,紧接着国内项目发币潮,到最后流动性挖矿将DeFi推到了最为狂热的高峰,不光于DeFi的热潮.

USD:DeFi领域有哪些值得投资的项目?_DEFI

下面是近期大家留言的一些解答,分析只是我个人的理解,不作为直接投资建议!大家有疑问可以留言,或者私发我微信上,因为精力有限,就不一对一回复,我集中整理后,下次在文章里统一分析解答.