Протокол Akropolis - REKT



Перикл, наверное, в гробу переворачивается.

Акрополь не подвергался такому rekt со времен Саламинского сражения в 480 году до н.э.

Царь Ксеркс наших дней снова стер Акрополь с лица земли, украв $2,000,000 DAI с помощью комбинации флэш-кредитов и повторного входа.

Поначалу админы Akropolis попытались создать видимость, что они просто выполняли «ремонтные работы».

Теперь мы знаем, что их поимели на 2 миллиона долларов.

Но как?

Протокол Akropolis позволяет пользователям вкладывать токены в хранилище и получать взамен другие токены. Количество токенов, которые вы получаете назад, зависит от того, сколько вы вложили.

Количество вложенных токенов вычисляется по разнице между балансом до и после выполнения трансфера.

Вот как атакующий использовал систему в своих интересах, создав вредоносный контракт на создание токенов, который вызвал функцию повторного вклада (повторный вход). Это контракт атаки.

  1. Создать фальшивый токен

  2. Вложить фальшивый токен

3a. Получить callback фальшивого токена, вложить 25к DAI

3б. Получить на свой счет 25к DAI депозитов

  1. Получить на свой счет 25к DAI депозитов

  2. Вывести 50к DAI

Источник samczsun

Потому как атакующий мог использовать свой контракт как вкладываемый токен, он смог использовать повторный вход с помощью флэш-кредита dYdx, как объясняется внизу.

Это адрес хакера. Видно, что он начал выполнять серии атак по $50k примерно на 8 часов раньше.

Затем он послал $2 миллиона из полученных денег на другой адрес, где они находятся в момент написания статьи.

Источник: @dogetoshi

Стоит отметить, что смарт-контракт, с которым взаимодействовал хакер, прошел аудит в двух разных охранных компаниях, Smartdec и Certik.

У Smartdec довольно таки приличный послужной список. А для Certik, к сожалению, Akropolis стал нежеланным новым проектом в списке тех, кого они аудировали, и кто потом подвергся эксплоиту.

bZx, Lien, Harvest, и теперь Akropolis. Даже если выполненный аудит безопасности никогда не должен считаться гарантией безопасности, но аудит Certik точно принес меньше пользы, чем должен был...

Даже качественно сделанный и тщательно проаудированный контракт может превратиться в говношоу, если попадет в плохие руки. Тот факт, что Akropolis так легко соврали своим пользователям говорит о том, что не вся вина лежит на Certik и хакере.

Даже если мы всегда стремимся выбирать протоколы, не требующие доверия, когда дело доходит до коммуникации между пользователем и провайдером сервиса, хрупкость доверия всегда должна находиться под защитой.

Akropolis потерял это доверие, и стал rekt.


Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.