El protocolo de préstamos DeFi Akropolis sufrió un ataque de reingreso y perdió $2 millones

Recientemente, el protocolo de préstamos DeFi Akropolis fue atacado por piratas informáticos. La fundadora y directora ejecutiva de Akropolis, Ana Andrianova, dijo que los atacantes utilizaron préstamos rápidos en la plataforma de derivados dYdX para llevar a cabo un ataque de reingreso, lo que provocó una pérdida de $ 2 millones.

Después de recibir una alarma de la plataforma de conocimiento de la situación de seguridad de cadena de bloques de desarrollo propio (Beosin-Eagle Eye), el equipo de Chengdu Lianan investigó inmediatamente el ataque y descubrió que:

1. Efectivamente, Akropolis fue atacada

2. La dirección del contrato de ataque es

0xe2307837524db8961c4541f943598654240bd62f

El volumen total de bloqueo del protocolo DeFi alcanzó los 69.160 millones de dólares estadounidenses: Jinse Finance informó que, según los datos de DefiLlama, el volumen total de bloqueo (TVL) del protocolo DeFi alcanzó los 69.160 millones de dólares estadounidenses, un aumento del 0,79% dentro de 24 horas. Los cinco primeros en TVL son MakerDAO ($ 8,93 mil millones), Lido ($ 8,03 mil millones), AAVE ($ 7,35 mil millones), Curve ($ 6,57 mil millones) y Uniswap ($ 6,15 mil millones). [2022/8/11 12:17:13]

3. El método de ataque es el ataque de reentrada

4. El atacante ganó alrededor de $ 2 millones

A través del análisis de transacciones en la cadena, se encontró que el atacante había acuñado monedas dos veces, como se muestra en la siguiente figura:

El volumen total de bloqueo del protocolo DeFi en la cadena Polygon es de 1620 millones de dólares estadounidenses: Jinse Finance informó que, según los datos de DefiLlama, el volumen total actual de bloqueo del protocolo DeFi en la cadena Polygon es de 1620 millones de dólares estadounidenses. un aumento del -1,75% en 24 horas. Los cinco principales activos bloqueados son AAVE ($361 millones), Quickswap ($288 millones), Curve ($162 millones), Meshswap ($74 millones) y Stargate ($72 millones). [2022/7/10 2:03:40]

Figura 1

Valor, una subsidiaria de DeFi Technologies, supera los $ 274 millones en activos bajo administración: el 31 de marzo, DeFi Technologies anunció que los activos bajo administración (AUM) de su subsidiaria Valor superaron los $ 274,2 millones, un aumento con respecto a los AUM de $ 143,5 millones en mayo del año pasado 91 %

La compañía ofrece una variedad de productos cotizados en bolsa (ETP) denominados en criptomonedas que cotizan en bolsas europeas, incluido BTC Zero con un AUM de $ 95,232 millones, ETH Zero con $ 67,371 millones, ADA Valor con $ 43,408 millones, $ 24,409 millones 10,000 USD DOT Valor, 38.498 millones USD SOL Valor, 1,45 millones USD UNI Valor, 2.605 millones USD LUNA Valor y 1.256 millones USD productos AVAX Valor.

Además, las ventas netas de Valor aumentaron un 205 % secuencialmente, de $106,3 millones en mayo de 2021 a más de $324,5 millones en marzo de 2022. (Cointelegraph) [2022/3/31 14:28:49]

Figura 2

Enlace de referencia:

https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

Sin embargo, según la llamada de transacción de oko.palkeo.com, el atacante solo llamó una vez a la función de depósito, como se muestra en la siguiente figura:

Figura 3

Al rastrear la llamada de función, el equipo de Chengdu Lianan descubrió que cuando el atacante llamó al depósito del contrato, estableció el token como su propia dirección de contrato de ataque, y cuando se transfirió el contrato, llamó a la dirección de contrato especificada por el usuario, como se muestra en la siguiente figura:

Figura 4

Al analizar el código, se encuentra que al llamar a la función de depósito, el usuario puede especificar el parámetro token, como se muestra en la siguiente figura:

Figura 5

La función depositToprotocol en la llamada de función de depósito tiene un método para llamar a la función safeTransferFrom de la dirección tkn, lo que permite al atacante realizar un ataque de reingreso mediante la construcción de "safeTransferFrom".

Figura 6

Como proveedor de servicios de préstamo y almacenamiento de DeFi, Akropolis utiliza el protocolo Curve para su almacenamiento, que fue explotado en el ataque ese mismo día. Los atacantes retiraron $ 50,000 en DAI de los grupos yCurve y sUSD del proyecto, robando un total de $ 2 millones en DAI antes de agotar esos grupos.

En este ataque, el pirata informático utilizó el ataque de reingreso para cooperar con el préstamo flash dYdX para invadir el grupo de almacenamiento. En el acuerdo, se puede decir que el grupo de almacenamiento de activos es el centro de la defensa. Como parte del proyecto, se debe dar la máxima prioridad a las medidas de prevención y protección de seguridad para el grupo de fondos. En particular, las inspecciones exhaustivas periódicas y las actualizaciones de código son indispensables para hacer frente a los métodos de ataque en constante cambio de los piratas informáticos.

Finalmente, Chengdu Lianan hace un fuerte llamado a que las partes del proyecto no olviden las auditorías de seguridad y las inspecciones periódicas; los inversores siempre deben tener en cuenta las alertas de seguridad y prestar atención a los riesgos de inversión.

Tags：

Binance Download