By:慢霧安全團隊
11月13日,據CoinDesk消息,Akropolis協議遭受黑客攻擊,損失約200萬DAI,慢霧安全團隊已于當天第一時間介入分析,并將結論同步給了相關關心方。以下為慢霧安全團隊對此事件的簡要分析,供大家參考。
背景提要
Akropolis是運行在以太坊上的借貸和存款協議,用戶可以使用Akropolis進行借貸或在Akropolis存款收取借貸利息。
攻擊流程簡析
1.攻擊者使用自己創建的token進行deposit,此時Akropolis合約會先記錄一次合約中所有代幣的總量;
2.Akropolis合約調用用戶自己創建的token的transferFrom函數的時候,攻擊者在transferFrom函數中重入Akropolis合約的deposit函數,并轉入DAI到Akropolis合約中;
Binance與匈牙利Ferencváros足球俱樂部合作提高其粉絲對Web3的認識:金色財經報道,Binance官方發帖稱,Binance與匈牙利足球歷史上獲得最多榮譽的俱樂部Ferencváros合作,提高足球愛好者對Web3的認識,并利用區塊鏈的力量提升球迷體驗。
Ferencváros球迷將在主場聯賽期間獲得限量版NFT,可兌換商品、獨家體驗和各種獎勵。該俱樂部的Groupama Arena體育場將采用幣安品牌和展館,旨在為Fradi粉絲舉辦加密貨幣活動。[2023/8/17 18:05:47]
3.此時在重入的交易中,由于Akropolis合約會先獲取合約中所有代幣的總量,這個值和第一次調用deposit函數獲取的合約代幣總量的值一致;
江蘇交通運輸行業數字人民幣試點工作方案出臺:2月27日消息,江蘇省交通運輸廳近日印發《江蘇省交通運輸行業數字人民幣試點工作方案》,提出要提升數字人民幣在交通運輸行業的覆蓋率、便捷性和支付體驗,力爭實現并拓寬公交、地鐵、長途客車、高速公路收費站及廳屬交通院校等方面的數字人民幣結算場景應用,推動運用數字技術賦能交通運輸高質量發展。
《方案》還公布了試點工作的實施路線圖,2023年底前部分試點項目將初見成效,力爭在2025年底實現交通運輸特定領域、區域數字人民幣應用場景全覆蓋。
此前2月2日消息,江蘇省人民政府辦公廳近日印發《江蘇省數字人民幣試點工作方案》。[2023/2/27 12:32:01]
4.Akropolis合約計算充值前后合約中代幣總量的差值,攻擊者在充值DAI后,會得到一定量的Delphitoken,獲得token的數量就是充值DAI的數量;
Cosmos生態項目Comdex新提案開啟投票,擬將Harbor治理合約遷移至新代碼:1月20日消息,Cosmos生態DeFi基礎設施層項目Comdex發推稱,第67號治理提案已開啟投票。該提案提議將Harbor治理合約遷移至通過第63號提案上傳的新代碼。[2023/1/20 11:23:35]
5.鑄幣完成后,流程回到第一次deposit往下繼續執行,這時合約會再次獲取合約中所有代幣的總量,這時由于在重入交易時,攻擊者已經轉入一定量的DAI,所以得到的代幣總余額就是攻擊者在重入交易完成后的代幣總余額;
6.此時合約再次計算差值,由于第一次deposit的時候合約中所有代幣的總量已經保存,此時計算出來的差值和重入交易中計算的差值一致,Akropolis合約再次鑄幣給攻擊者。
泰國于9月1日起對加密廣告實行更嚴格的規定:9月1日消息,據泰國證券交易委員會(SEC)官網,美國證券交易委員會發布了一份修訂數字資產業務廣告法規的公告。提高對企業廣告的監管效率,明確、適當地符合外國監管原則,加強對數字資產交易者的保護。自9月1日起生效,在公告生效日期之前發布的廣告,必須在其生效日期后30天內進行修改。該法規規定:1.廣告不得虛假宣傳,不得夸張、歪曲隱瞞或具體誤導性,只能按實際客戶數量為客戶開戶并提供服務。2.希望安排廣告的企業經營者,必須根據規則、方法、條件和時間向證券交易委員會提交有關廣告和廣告費用的詳細資料。3.要求對廣告投資風險進行警示,若有獲得回報的宣傳,必須同時顯示相應風險。4.加密貨幣的廣告只能在運營商的官方渠道上進行,但可以在公共場所和其他渠道投放廣告。5.需遵守規則在廣告中指明出境的角色;6.取消對加密貨幣經營者的介紹經紀人(IBA)規定。[2022/9/1 13:02:15]
總結
攻擊者使用自己構造的token,對Akropolis合約的deposit函數進行重入,導致Akropolis合約使用相同的差值鑄幣了兩次,但是只觸發了一次轉賬,當攻擊者提現的時候,就可以提兩倍的收益,從而獲利。
相關鏈接:
(1)CoinDesk關于Akropolis合約被攻擊的報道:
https://www.coindesk.com/defi-project-akropolis-token-pool-drained
(2)分析樣本:
https://etherscan.io/tx/0x3db8d4618aa3b97eeb3af01f01692897d14f2da090d5d6407f550a1b10c15133
往期回顧
BithumbGlobal入駐慢霧區,發布「安全漏洞與威脅情報賞金計劃」
Web3大會|慢霧:區塊鏈安全,永無止境的戰爭
慢霧:Harvest.Finance被黑事件簡析
慢霧參與國家標準研究項目《區塊鏈服務技術安全要求》編制
慢霧:DeFiSaver用戶的31萬枚DAI是如何被盜的?
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
鏈聞號
https://www.chainnews.com/u/958260692213.htm
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/9558992.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
幣安為何推出第三條鏈?這對BNB意味著什么?
全球市場未來可能會有更多動蕩的月份,由于2020年標普500與加密市場的相關性增加,加密交易者應注意風險.
1900/1/1 0:00:00NEST將博弈轉移到鏈上進行,然后再對提供優質數據的用戶提供激勵,實現了更好的去中心化程度,但當前仍需發展更多的B端用戶.
1900/1/1 0:00:00比特幣意外通脹或大規模回滾都可以稱作災難性事件,BitMEX發文介紹了其開源工具ForkMonitor,提供了意外通脹檢測的解決方案.
1900/1/1 0:00:00以太坊生態需要將發力點集中到Rollup上以應對短期和中期的擴容需求。原文標題:《Vitalik:以Rollup為中心的以太坊路線圖》撰文:VitalikButerin來源:ETH中文網Opti.
1900/1/1 0:00:00吳說區塊鏈獲悉,近期由于電力緊缺,四川對加密貨幣挖礦行業進行了強制性要求,一些礦場出現斷電情況,新疆準東也要求做緊急限電預案措施.
1900/1/1 0:00:0010月8日至11日,以太坊基金會主辦的第五屆以太坊開發者大會在日本大阪舉行,總共有183位主題演講者、57位閃電演講者在為期四天的312場演講和討論中登場分享.
1900/1/1 0:00:00