黑客|又有项目被黑客攻击,损失超200万美元!


黑客|又有项目被黑客攻击,损失超200万美元!
【黑客|又有项目被黑客攻击,损失超200万美元!】defi截止目前为止 , 经历了一番牛市之后 , 可以说逐渐趋于平稳 , 当然这些天defi的龙头有抬头的趋势 , 未来仍然可期 。

其实参与defi挖矿系列活动来说 , 最重要的就是安全 。 最近uni挖矿在几天后就结束了 , 似乎uni也有所抬头 。

昨晚的时候 , 又一个defi项目遭遇了闪电贷攻击 , 损失超过200万刀 。 此项目名叫akropolis , 此前上了币安 。 根据项目方公告称:
在格林尼治标准时间(GMT)约14:36 , 我们注意到稳定币池的APY有所差异 , 并确定从yCurve和sUSD池中抽出了约200万DAI 。
这些资源池已由两家独立的公司进行了审核 , 但是 , 在两次审核中均未发现漏洞利用中的攻击媒介 。 有问题的漏洞利用的实质是重新进入攻击与dYdX快速贷款发起的结合 。
受影响的池:

  • YCurve和sUSD池中的DAI消耗了200万
  • 被盗资金目前存放在此钱包中:https : //etherscan.io/address/0x9f26ae5cd245bfeeb5926d61497550f79d9c6c1c

目前所有的稳定币池都已经暂停了 , 没办法 , 遭遇这种事 , 最后受伤的还是用户 。 Akropolis作为DeFi借贷、存储服务提供商 , 其存储部分使用的是Curve协议 , 这在当天早些时候的攻击中曾被利用 。 攻击者从该项目的yCurve和sUSD池中取出了5万美元的DAI , 而在耗尽这些池子前 , 共计窃取了价值200万美元的DAI 。
简单而言:黑客利用 Akropolis 项目存在的存储资产校验缺陷 , 向合约发起连续多次的重入攻击 , 致使 Akropolis 合约在没有新资产注入的情况下 , 凭空增发了大量的 pooltokens , 进而再利用这些 pooltokens 从 YCurve 和 sUSD 池子中提取 DAI , 最终导致项目合约损失了203万枚 DAI 。 此外 , 由于curve的资金逐渐分散 , 所以黑客攻击的难度不是很高 , 此前的harvest应该给人敲了一个警钟 。 本来harvest的锁仓资金都超过10亿美元了 , 但是此次事件直接跌到了3亿美元差不多 , 用户损失超过2000万美元 , usdc及usdt用户的损失高达17% , 要知道稳定币白嫖一年的利息也就这么高 , 这没几天就亏完了 。 此后项目方向投资者发了个欠条的新币 , 但是总得来说 , 目前机枪池越来越难了 , 收益率逐渐奖励 , 可以说白嫖的时代基本上是结束了 。 目前来看 , defi的安全问题依然是第一要素 , 没赚到就算了 , 总不能把本金都给拿走了 。 而且现在的项目动辄锁仓几千万美元几亿美元的 , 一旦发生了安全事故 , 那么基本上就是归零 。 在此也提醒各位 , 白嫖有风险 , 尽量找有安全审计的项目参与 , 通过审计也不一定是绝对安全的 , 一切都看运气 。 赚钱不易 , 且行且珍惜 。