成都链安团队接到了自主研发的区块链安全监测平台(Beosin-EagleEye)的报警后,立即对这次攻击事件进行了调查,并得出以下结论:
1、Akropolis确实遭到了攻击。 2、攻击的合约地址是0xe2307837524db8961c4541f943598654240bd62f。 3、攻击采用的手法是重入攻击。 4、攻击者赚取了约200万美元的利润。
攻击手法的分析显示,攻击者进行了两次铸币操作,但根据oko.palkeo.com的交易调用显示,攻击者只调用了一次deposit函数。
通过追踪函数调用,成都链安团队发现,在攻击者调用deposit函数时,将token设置为了自己的攻击合约地址,并在合约进行transferFrom时,调用的是用户指定的合约地址。
分析代码后发现,在调用deposit函数时,用户可以指定token参数。而在deposit函数的调用中,存在调用tkn地址的safeTransferFrom函数的方法,这使得攻击者能够通过构造“safeTransferFrom”进行重入攻击。
Akropolis其存储部分使用的是Curve协议,这在攻击中被利用。攻击者从该项目的yCurve和sUSD池中窃取了5万美元的DAI,最终共计窃取了价值200万美元的DAI。
在本次攻击事件中,黑客使用重入攻击和dYdX闪电贷对存储池发起了侵占。作为项目方,对资金池的安全预防和保护措施应置于最优先级。定期全面检查和代码升级也是应对黑客不断变化的攻击手段的必要措施。
最后,成都链安团队强烈呼吁项目方进行安全审计和定期检测,并提醒投资者时刻保持安全警惕,注意投资风险。