DeFi协议Akropolis漏洞详解:黑客复现“经典重入攻击”掳走203万DAI

最新推荐文章于 2022-06-12 19:54:03 发布
最新推荐文章于 2022-06-12 19:54:03 发布
阅读量2.1k 收藏 1
点赞数 1
文章标签: 区块链 比特币 安全 信息安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PeckShield/article/details/109685041
版权


昨天晚间19时50分,DeFi 协议 Akropolis 遭到了黑客攻击。

区块链安全公司 PeckShield(派盾)安全人员迅速定位到问题在于,Akropolis  项目的 SavingsModule 合约在处理用户存储资产时存在某种缺陷,黑客利用此缺陷连续实施了17次重入攻击,导致其 YCurve 和 sUSD 资金池损失了203万枚 DAI。 

技术概要:

本次攻击的原因如下:

1)合约没有对用户存储的 Token 进行白名单校验

2)关键的 deposit 函数没有对重入攻击的保护

简单而言:黑客利用 Akropolis 项目存在的存储资产校验缺陷,向合约发起连续多次的重入攻击,致使 Akropolis 合约在没有新资产注入的情况下,凭空增发了大量的 pooltokens,进而再利用这些 pooltokens 从 YCurve 和 sUSD 池子中提取 DAI,最终导致项目合约损失了203万枚 DAI。

攻击过程详解:

攻击流程复现:

我们通过分析黑客实施攻击的交易哈希(0xe1f375a

最低0.47元/天 解锁文章
PeckShield
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
PeckShield:DeFi平台Opyn智能合约漏洞详解——攻击者空手套白狼!
PeckShield的博客
08-06 718
北京时间2020年08月05日,DeFi 期权平台 Opyn 的看跌期权(Opyn ETH Put)智能合约遭到黑客攻击,损失约37万美元。Opyn 是一个通用期权协议,于今年2月份转型...
别再盲目制Compound代码了,Defi借贷项目漏洞分析
shanbei2022的博客
04-02 2360
年初我们在分析Compound代码的时候,就发两个可能影响它资金安全的漏洞。 2022年3月15日,Hundred Finance遭受攻击黑客获利2363 ETH,总价值超过4000万人名币。 Hundred Finance项目的代码就源自Compound。 我们今天来简单分析下Compound的漏洞,以及为何去中心化借贷项目不能无脑制Compound模式。 漏洞一 这个漏洞的主要原因是Compound采用的这种资金池净值的算法可以被攻击攻击者可以在资金池份额很小时,恶意转.
DeFi借贷协议Akropolis攻击事件分析
区块链大本营
11-13 944
来源 | 成都链安责编 | 晋兆雨头图 |付费下载于视觉中国 近日,DeFi借贷协议Akropolis遭到网络黑客攻击Akropolis创始人兼首席执行官Ana Andria...
Akropolis 攻击分析
Timmbe的博客
03-02 114
Akropolis 攻击
漏洞的分析,以及修方案
m0_68764244的博客
06-12 2496
在以太坊中,智能合约能够调用其他外部合约的代码,由于智能合约可以调用外部合约或者发送以太币,这些操作需要合约提交外部的调用,所以这些合约外部的调用就可以被攻击者利用造成攻击劫持,使得被攻击合约在任意位置新执行,绕过原代码中的限制条件,从而发生攻击攻击本质上与编程里的递归调用类似,所以当合约将以太币发送到未知地址时就可能会发生。简单的来说,发生攻击漏洞的条件有 2 个:调用了外部的合约且该合约是不安全的 外部合约的函数调用早于状态变量的修改假设:智能合约A有函数F1,攻击合约B有函数F2。F1
defi-score:DeFi评分:评估DeFi协议的开放框架
02-05
DeFi分数是用于评估无许可借贷平台中的风险的框架。 它是基于智能合约风险,抵押品和流动性等因素来衡量协议风险的单一且可比较的价值。 我们鼓励以太坊社区发展这种方法,使其更加有效和易于使用。 在查看实时...
Akropolis-delphi-exploit:Akropolis Delphi再漏洞
03-25
创建Akropolis Delphi项目是为了使用户能够轻松连接到底层的DeFi协议(如 。 用户因这样做而获得了Delphi治理令牌的奖励,并将向该平台添加一些创新功能。 他们网站上的存放界面限制了用户为基础协议存放适当的令牌...
go-defi:一个Golang SDK,用于处理DeFi协议以及以太坊兼容的区块链
03-25
用于与DeFi协议一起使用的golang SDK和与以太坊兼容的区块链一起使用的通用实用程序。 套餐 客户 绑定 cli 配置 数据库 寿司交换 取消交换 测试环境 utils的 bclient 提供围绕包装ethclient包 绑定 提供由abigen...
defi-sdk:DeFi SDK使Lego赚钱
02-05
DeFi SDK是智能合约的开源系统,专为精确的DeFi产品组合会计而设计。 简而言之,DeFi SDK是DeFi协议的链上平衡。 如果您对DeFi SDK有任何疑问,请随时在我们的上与我们联系。 产品特点 :collision: 查询存储在DeFi...
DeFi-Pulse-Adapters:DeFi Pulse Adapters-官方存储库,因此DeFi项目可以在DeFi Pulse上保持其指标最新
02-26
DeFi Pulse项目模板 欢迎使用DeFiPulse项目模板存储库! 此存储库的目的是允许第三方开发人员构建,验证和更新自己的DeFi Pulse项目适配器,以便随着时间的推移添加和维护更大数量的项目。 如何在DeFi Pulse上列出 ...
创宇区块链|两天内遭遇两次攻击DeFi 协议 FEG 真的伤不起
SierraW的博客
05-18 454
多链 DeFi 协议 FEG 两天内遭遇两次攻击,累计损失超300万美元。
DeFi平台Balancer遭黑客攻击全过程技术拆解
weixin_44383880的博客
06-30 558
来源:PeckShield北京时间06月29日凌晨02时03分起,最近因“借贷即挖矿”模式而备受关注DeFi 平台 Balancer 上的 STA 和 STONK 两个 ERC20 通缩...
智能合约漏洞学习笔记(1):攻击
qq_42943698的博客
03-04 1125
前置知识 回退函数(fallback function):每一个合约有且仅有一个没有名字的函数,无参数,无返回值 function() public payable{} 回退函数在以下几种情况中被执行: 调用合约时没有匹配到任何一个函数 没有传数据 智能合约收到以太币 (为了接受以太币,fallback函数必须标记为payable) 硬分叉:添加无法向下兼容的新规则,使得以太坊网络存在两条链:运行新规则的新链和运行旧规则的旧链 第一次硬分叉:调整了未来挖矿的难度,确保未来的用户会有转换至权益证
理解攻击漏洞
SierraW的博客
07-06 2218
前言 智能合约(英文:Smart contract )的概念于 1995 年由 Nick Szabo 首次提出,它是一种旨在以信息化方式传播、验证或执行合同的计算机协议,它允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。然而智能合约也并非是安全的,其中 (Re-Entrance) 攻击漏洞是以太坊中的攻击方式之一,早在 2016 年就因为 The DAO 事件而造成了以太坊的硬分叉。 漏洞概述 在以太坊中,智能合约能够调用其他外部合约的代码,由于智能合约可以调用外部合约或者发送以太币,
PeckShield: 3月共发生安全事件19起,DeFi安全问题凸显
PeckShield的博客
04-01 544
据 PeckShield 态势感知平台数据显示,过去一个月,整个区块链生态共发生 19 起较为突出的安全事件,危害程度评级为「中级」,受损金额达百亿元,涉及 DeFi 2 起、交易所 ...
DeFi为何频出安全问题?
Odaily_的博客
04-20 615
原文首发于 4 月 19 日,Odaily星球日报已将事件最新进展更新于文末。“DeFi 平台不作恶,奈何扛不住黑客太多。”继 4 月 18 日 Uniswap 被黑客攻击损失 1278...
有惊有险 —— KingDefi收益计算逻辑漏洞分析
SierraW的博客
06-25 351
漏洞原因 ​近日,据业内人士提供的有关信息(如下图所示),名为 KingDefi 的项目合约存在漏洞,并提示其他用户谨慎操作,提取资金并取消授权。知道创宇区块链安全实验室 调研发,KingDeFi 是一个 DeFi 项目,主要功能包含对 BSC、Solana 链上 DeFi 的收益聚合分析、用户 DeFi 收益追踪以及项目原生代币的抵押挖矿。 在查看 BSC 链上的 KrownMaster 合约(用于抵押挖矿 staking )源码后发,该合约确实存在逻辑漏洞,会导致用户收益率受到影响,在相应的计算逻
以太坊学习(5)利用Web3.js与节点交互【2】
dieju8330的博客
10-19 1531
利用Web3.js与节点交互【2】 这部分主要介绍利用web3.js对已经部署的合约进行一些操作等  写在最前:web3.js 1.0版本跟 0.2.x版本的使用区别比较大,这里暂时先给出1.0版本下的调用 web3.js 1.0 官方文档:https://web3js.readthedocs.io/en/1.0/web3.html#value 一、继续沿用(利用Web3.js与节点交...
以太坊智能合约安全漏洞 (1):攻击
henrynote的博客
08-27 8615
本文转自公众号:亨利笔记 首发于: https://hash1024.org/topics/27 本文的英文原文已有若干个中文翻译版本,但译文和原文都有错漏或不足。本文系基于译者(Henry)的理解,新翻译并做了修正,并且加了个人的注解和插图,力求让读者更容易领会原文的含义。为不影响阅读体验,注解没有单独标出, 可当译文 +“笔记”来阅读。感兴趣的读者可参考文末的原文地址。 虽然仍然处...
区块链简介、区块链网络、数据结构及未来展望PPT共25页.pptx
03-19
最后,未来展望部分可能会讨论区块链技术的潜在发展和影响,可能涉及去中心化金融(DeFi)、供应链管理、物联网(IoT)等领域,以及随着技术成熟可能带来的社会、经济变革。 这份PPT深剖析了区块链的内在机制和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值