DeFi借貸協議Akropolis遭受重入攻擊 損失200萬美元_POS:POSW價格

近日，DeFi借貸協議Akropolis遭到網絡黑客的攻擊。Akropolis創始人兼首席執行官AnaAndrianova表示，攻擊者利用在衍生品平臺dYdX的閃電貸進行重入攻擊，造成了200萬美元的損失。

成都鏈安團隊在接到自主獨立研發的區塊鏈安全態勢感知平臺報警后，第一時間對本次攻擊事件進行了調查，結果發現：

1、Akropolis確實遭到攻擊

2、攻擊合約地址為

Andre Cronje：DeFi仍在增長中，未來不會消失:2月5日消息，Fantom聯合創始人Andre Cronje在博客中表示，不認為DeFi高收益“早已過去”，不同意“DeFi增長幾乎為零”的說法。Cronje稱，“如果你根據TVL、收益率和交易量繪制一張增長圖表，并將曲線拉平以避免振蕩，那么可以發現這是一個清晰的線性增長圖表，實際收益率和DeFi都實現大幅增長。

Cronje還將DeFi快速增長期與互聯網泡沫進行了比較，他說這一時期并沒有摧毀互聯網。而正是那些在瘋狂時期誕生的項目成為了我們今天使用的主力產品。Cronje斷言，DeFi以及社交媒體、游戲、藝術、新聞等其他區塊鏈垂直領域都不會消失。盡管如此，他承認了DeFi底層技術的局限性。[2023/2/5 11:48:06]

0xe2307837524db8961c4541f943598654240bd62f

報告：主要DeFi協議中代幣分配和治理仍然高度集中:DappRadar和Monday Capital聯合開發的一份新報告分析了主要DeFi協議中的代幣分配和治理建議。盡管在yield farming 階段進行了去中心化控制的努力，研究人員仍然認為，許多項目，尤其是那些具有強大風險資本根源的項目，仍然高度集中。研究人員分析了MakerDAO (MKR)、Curve (CRV)、Compound (COMP)和Uniswap (UNI)等項目。所有這些都呈現出明顯偏向的代幣分配，這有利于大戶持有者。分析人士指出，由于Maker治理的存在時間較長，它似乎是所有治理中最成熟的。然而，實際的鏈上投票過程似乎主要由大戶控制，因為排名前20位的地址約占總供應量的24％。

對于Compound，研究人員指出，只有2.3％的地址有授權，要求提出提案和投票。因此，只有一小部分社區參與治理，并且由于存在匯總的交易地址，真實百分比可能甚至更低。Curve和Uniswap也有類似的問題，前者的特點是一個單一的解決方案顯然擁有75%的投票權，而后者正遭受著丑聞和內部人士接管治理的指控。最后，研究人員指出，初始投資在集中治理方面起著重要作用。風險資本家和其他投資者通常會擁有大量初始權益，這也可能使其他用戶不愿嘗試獲得管理權。（Cointelegraph）[2020/10/30 11:16:24]

3、攻擊手法為重入攻擊

Jubi DeFi：鎖倉JT、GXC、HT、YFII、LINK一鍵挖礦GOF:據官方消息，聚幣Jubi DeFi板塊自上線“質押JT借貸挖礦JFI”及“鎖倉JT即挖SUN創世礦幣”后，即將上線“GOF一鍵挖礦”功能，支持鎖倉JT、GXC、HT、YFII、LINK代幣一鍵0成本挖礦GOF。平臺所有用戶均可以參與。

聚幣Jubi DeFi板塊為廣大用戶削減DeFi挖礦技術門檻，讓JT持有用戶及普通用戶一站參與熱門幣種挖礦，盡享各類挖礦權益。[2020/9/9]

4、攻擊者獲利約200萬美元

攻擊手法分析

通過對鏈上交易的分析，發現攻擊者進行了兩次鑄幣，如下圖所示：

圖一

圖二

參考鏈接：

https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

但據oko.palkeo.com交易調用情況顯示，攻擊者僅調用了一次deposit函數，如下圖所示：

圖三

通過跟蹤函數調用，成都鏈安團隊發現，攻擊者在調用合約的deposit時，將token設置為自己的攻擊合約地址，在合約進行transferFrom時，調用的是用戶指定的合約地址，如下圖所示：

圖四

通過分析代碼發現，在調用deposit函數時，用戶可指定token參數，如下圖所示：

圖五

而deposit函數調用中的depositToprotocol函數，存在調用tkn地址的safeTransferFrom函數的方法，這就使得攻擊者可以通過構造“safeTransferFrom”從而進行重入攻擊。

圖六

事件小結

Akropolis作為DeFi借貸、存儲服務提供商，其存儲部分使用的是Curve協議，這在當天早些時候的攻擊中曾被利用。攻擊者從該項目的yCurve和sUSD池中取出了5萬美元的DAI，而在耗盡這些池子前，共計竊取了價值200萬美元的DAI。

在本次攻擊事件中，黑客使用重入攻擊配合dYdX閃電貸對存儲池發起了侵占。在協議中，資產存儲池可謂是防守重點，作為項目方，對資金池的安全預防、保護措施應置于最優先級別。特別是，為應對黑客不斷變化的攻擊手段，定期全面檢查和代碼升級缺一不可。

最后，成都鏈安強烈呼吁，對于項目方而言，安全審計和定期檢測切勿忘懷；對于投資者而言，應時刻不忘安全警戒，注意投資風險。

Tags：DEFIEFIDEFPOSXDEFI價格PureFiDeFi.chPOSW價格

比特幣價格