By:慢霧安全團隊
11月13日,據CoinDesk消息,Akropolis協議遭受黑客攻擊,損失約200萬DAI,慢霧安全團隊已于當天第一時間介入分析,并將結論同步給了相關關心方。以下為慢霧安全團隊對此事件的簡要分析,供大家參考。
背景提要
Akropolis是運行在以太坊上的借貸和存款協議,用戶可以使用Akropolis進行借貸或在Akropolis存款收取借貸利息。
攻擊流程簡析
1.攻擊者使用自己創建的token進行deposit,此時Akropolis合約會先記錄一次合約中所有代幣的總量;
2.Akropolis合約調用用戶自己創建的token的transferFrom函數的時候,攻擊者在transferFrom函數中重入Akropolis合約的deposit函數,并轉入DAI到Akropolis合約中;
歐洲消費者組織BEUC投訴Instagram、YouTube等社交平臺的加密廣告:6月8日消息,Meta Platforms 旗下 Instagram、Alphabet 旗下 YouTube 以及 TikTok 和 Twitter 或將因為加密廣告面臨監管行動。歐洲消費者組織 BEUC 投訴稱,社交媒體平臺上加密資產誤導性廣告的泛濫是一種不公平的商業行為,因為它使消費者面臨嚴重傷害,例如損失大量金錢。這些社交網絡采取措施防止有影響力的人誤導消費者,并將這些措施的有效性告知歐盟委員會。[2023/6/8 21:24:20]
3.此時在重入的交易中,由于Akropolis合約會先獲取合約中所有代幣的總量,這個值和第一次調用deposit函數獲取的合約代幣總量的值一致;
Coinbase(COIN.O)盤前漲近9%:金色財經報道,Coinbase(COIN.O)盤前漲近9%,Q1交易收入同比增長16%至3.75億美元且好于預期,凈虧損從上年同期的4.3億美元大幅收窄至7900萬美元。[2023/5/5 14:44:35]
4.Akropolis合約計算充值前后合約中代幣總量的差值,攻擊者在充值DAI后,會得到一定量的Delphitoken,獲得token的數量就是充值DAI的數量;
5.鑄幣完成后,流程回到第一次deposit往下繼續執行,這時合約會再次獲取合約中所有代幣的總量,這時由于在重入交易時,攻擊者已經轉入一定量的DAI,所以得到的代幣總余額就是攻擊者在重入交易完成后的代幣總余額;
Bybit將從12月15日起更新并強制執行KYC驗證:12月9日,據官方公告,從12月15日起,加密貨幣交易所 Bybit 將要求一鍵購買加密貨幣、法幣存款和 P2P 交易;NFT 購買;NFT 市場充值(12月30日)需要進行 KYC 驗證,12月20日起無 KYC 用戶的每日提幣額度也從 2BTC 改成小于 20K USDT。[2022/12/9 21:34:20]
6.此時合約再次計算差值,由于第一次deposit的時候合約中所有代幣的總量已經保存,此時計算出來的差值和重入交易中計算的差值一致,Akropolis合約再次鑄幣給攻擊者。
總結
攻擊者使用自己構造的token,對Akropolis合約的deposit函數進行重入,導致Akropolis合約使用相同的差值鑄幣了兩次,但是只觸發了一次轉賬,當攻擊者提現的時候,就可以提兩倍的收益,從而獲利。
穆迪:預計美聯儲將在年底前將聯邦基金利率上調至3.50%-3.75%:8月2日消息,著名債券評級公司穆迪表示,預計美聯儲將在即將召開的幾次FOMC會議上繼續前置加息,預計美聯儲將在年底前將聯邦基金利率上調至3.50%-3.75%,并在2023年3月前將利率上調至4.0%以上。(金十)[2022/8/2 2:51:52]
相關鏈接:
(1)CoinDesk關于Akropolis合約被攻擊的報道:
https://www.coindesk.com/defi-project-akropolis-token-pool-drained
(2)分析樣本:
https://etherscan.io/tx/0x3db8d4618aa3b97eeb3af01f01692897d14f2da090d5d6407f550a1b10c15133
往期回顧
BithumbGlobal入駐慢霧區,發布「安全漏洞與威脅情報賞金計劃」
Web3大會|慢霧:區塊鏈安全,永無止境的戰爭
慢霧:Harvest.Finance被黑事件簡析
慢霧參與國家標準研究項目《區塊鏈服務技術安全要求》編制
慢霧:DeFiSaver用戶的31萬枚DAI是如何被盜的?
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
鏈聞號
https://www.chainnews.com/u/958260692213.htm
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/9558992.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
幣安為何推出第三條鏈?這對BNB意味著什么?
Tags:KROPOLPOLISAkropolisKRONE幣Polysportsatlas幣和polis幣Akropolis Delphi
比特幣攀上2萬4千美金眾生歡呼,而這個三歲女孩的生命似乎已被遺忘。6月這場驚人的殺女后攜妻自殺案件,隨著庭審直播公開,我們發現這位大連男子鄭大偉是一位比特幣合約賭徒.
1900/1/1 0:00:00尊敬的用戶: TUL將在WBF開放區上線TUL/USDT交易對,具體時間安排如下:充幣時間:2020-12-2112:00交易時間:2020-12-2215:00提幣時間:2020-12-221.
1900/1/1 0:00:00如果張三欠了你的錢,時隔多年,張三用克隆技術復制了自己,說克隆體才是張三,原張三的債務關系一律作廢。而克隆體除了模樣與張三相差無幾,在記憶上卻是大相徑同,完全不承認認識你,更別提欠你錢那檔子事.
1900/1/1 0:00:00美國公布了一份長達35頁的《新興科技趨勢報告》。該報告是在美國過去五年內由政府機構、咨詢機構、智囊團、科研機構等發表的32份科技趨勢相關研究調查報告的基礎上提煉形成的.
1900/1/1 0:00:00今天的封面是《薩努瓦的街道》,莫里斯·郁特里羅今日起,世界上最大的考研視頻網站P站,會員規則發生改變,將只接受數字貨幣支付.
1900/1/1 0:00:00一名來自馬薩諸塞州諾斯伯勒市的男子承認犯有針對老年人和弱勢群體的詐騙案,罪名超過60萬美元。?在馬薩諸塞州伍斯特市的聯邦法院作答時,奧斯丁·內德維德也承認通過點對點加密貨幣交易和其他犯罪來洗錢此.
1900/1/1 0:00:00