最近、DeFi 融資プロトコルの Akropolis がサイバーハッカーによって攻撃されました。アクロポリスの創設者兼最高経営責任者（CEO）のアナ・アンドリアノバ氏は、攻撃者らはデリバティブプラットフォームdYdXのフラッシュローンを利用してリエントランシー攻撃を実行し、200万ドルの損失を引き起こしたと述べた。

自社開発のブロックチェーン セキュリティ状況認識プラットフォーム (Beosin-Eagle Eye) からの警報を受け取った後、成都聯南チームは直ちに攻撃を調査し、次のことを発見しました。

1. アクロポリスは確かに攻撃された

2. 攻撃コントラクトのアドレスは

0xe2307837524db8961c4541f943598654240bd62f

3. 攻撃方法は再突入攻撃である

副題

攻撃手法の分析

参考リンク：

図1

図Ⅱ

参考リンク：https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2

画像の説明

図 3

画像の説明

図4

画像の説明

図5

画像の説明

イベント概要

イベント概要

DeFi レンディングおよびストレージ サービス プロバイダーであるアクロポリスは、ストレージに Curve プロトコルを使用していますが、これは同日初めの攻撃で悪用されました。攻撃者は、プロジェクトの yCurve および sUSD プールから 50,000 ドルの DAI を引き出し、これらのプールが枯渇する前に合計 200 万ドル相当の DAI を盗みました。

今回の攻撃では、ハッカーはdYdXフラッシュローンと連携し、リエントリー攻撃を利用してストレージプールに侵入しました。協定では資産保管プールが防衛の焦点と言えるが、プロジェクト当事者としては資金プールの安全対策・保護対策が最優先されるべきである。特に、刻々と変化するハッカーの攻撃手法に対応するには、定期的な包括的な検査とコードのアップグレードが不可欠です。

最後に成都連安は、プロジェクト関係者に対しては安全監査と定期検査を忘れてはならず、投資家に対しては安全上の注意を常に念頭に置き、投資リスクに注意を払うべきであると強く訴えている。