POSI:DeFi借贷协议Akropolis重入攻击事件分析_DEP

近日，DeFi借贷协议Akropolis遭到网络黑客的攻击。Akropolis创始人兼首席执行官AnaAndrianova表示，攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击，造成了200万美元的损失。

成都链安团队在接到自主独立研发的区块链安全态势感知平台报警后，第一时间对本次攻击事件进行了调查，结果发现：

1、Akropolis确实遭到攻击

YouSwap中文社区负责人 ：YouSwap将成为整个DeFi赛道的“聚合器”:5月28日15:00，YouSwap中文社区负责人David做客媒体，开展了主题为《上线一键发币与IDO后，该如何给YouSwap估值？》的AMA直播。在本次AMA中，David围绕YouSwap近期上线的一键发币、IDO等功能做出了详细的介绍和分享，并就YouSwap项目亮点、核心优势及未来生态布局远景展开了深入分析。

David直言，一键发币MOON模式、一键IDO跟一键多挖功能上线后，预估会给YouSwap带来流量，未来，YouSwap将尝试包括借贷产品、聚合理财、NFT交易板块、稳定币资产等多个方向的布局，通过一步步的迭代更新和产品体验的完善，将DeFi赛道各个模块相互打通。届时，YouSwap将成为整个DeFi赛道的“聚合器”，聚合DeFi行业技术，实现更安全、更公平，体验更好的全生态DEX交易所。[2021/5/28 22:53:18]

2、攻击合约地址为

DeFiBox 数据播报：DeFi总锁仓量213亿美元，USDT在Compound中的出借利息20.87%:据DeFi门户DeFiBox 实时数据显示，今日DeFi市场真实锁仓量持续大幅增加，其中Maker资产的锁仓量达到37.5亿美元。DeFi挖矿平均年化收益率在以算法稳定币Basis Cash的带动下达到41.77%。USDT需求量持续增加，头部借贷平台Compound中的借贷利息达到20.87%。[2021/1/5 16:29:51]

0xe2307837524db8961c4541f943598654240bd62f

福布斯专栏作者：DeFi和NFT强劲增长是以太坊的“双刃剑”:福布斯专栏作者Christopher Brookins今日刊文称，DeFi和NFT的强劲增长一直是以太坊的“双刃剑”，不断阻塞网络，并大大增加了交易成本。较高的交易成本和较慢的处理速度可能会成为新进入DeFi或NFT的障碍，从而抑制对以太坊的新需求。以太坊市场缺乏新的需求，加上美国大选前后的宏观不确定性，似乎正在拖累ETH价格。从长远来看，建立在以太坊之上的新兴生态系统看起来很有希望，特别是一旦ETH2.0解决了当前的容量问题。然而，短期内，在下一轮上涨之前，价格可能会进一步疲软和波动。[2020/9/25]

3、攻击手法为重入攻击

币赢CoinW将于8月13日 17:00在DeFi专区上线POWER:据官方消息，币赢CoinW将于8月13日 17:00在DeFi专区上线POWER/USDT交易对，并开启“充值送POWER，-0.1% Maker费率”活动。

据悉，unipower是第?个流动性证明的代币，初始的100w个power全部锁定在uniswap??，没有增发，不能提取。未来unipower的资?池将会成为uniswap上的旗舰池?。由DAO系统进?管理。详情查看原文链接[2020/8/13]

4、攻击者获利约200万美元

攻击手法分析

通过对链上交易的分析，发现攻击者进行了两次铸币，如下图所示：

图一

图二

参考链接：https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但据oko.palkeo.com交易调用情况显示，攻击者仅调用了一次deposit函数，如下图所示：

图三

通过跟踪函数调用，成都链安团队发现，攻击者在调用合约的deposit时，将token设置为自己的攻击合约地址，在合约进行transferFrom时，调用的是用户指定的合约地址，如下图所示：

图四

通过分析代码发现，在调用deposit函数时，用户可指定token参数，如下图所示：

图五

而deposit函数调用中的depositToprotocol函数，存在调用tkn地址的safeTransferFrom函数的方法，这就使得攻击者可以通过构造“safeTransferFrom”从而进行重入攻击。

图六

事件小结

Akropolis作为DeFi借贷、存储服务提供商，其存储部分使用的是Curve协议，这在当天早些时候的攻击中曾被利用。攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI，而在耗尽这些池子前，共计窃取了价值200万美元的DAI。

在本次攻击事件中，黑客使用重入攻击配合dYdX闪电贷对存储池发起了侵占。在协议中，资产存储池可谓是防守重点，作为项目方，对资金池的安全预防、保护措施应置于最优先级别。特别是，为应对黑客不断变化的攻击手段，定期全面检查和代码升级缺一不可。

最后，成都链安强烈呼吁，对于项目方而言，安全审计和定期检测切勿忘怀；对于投资者而言，应时刻不忘安全警戒，注意投资风险。

标签：POSIDEPPOSDEPOPOSI价格dep币前景pos币如何获取利

比特币交易所热门资讯