В четверг, 12 ноября, платформа DeFi Akropolis, которая позволяет пользователям получать проценты по вкладам, а также брать займы, стала жертвой эксплойта, в результате которого было украдено около 2 миллионов долларов.
Злоумышленник, который еще не был идентифицирован, смог использовать Akropolis, взяв флеш-кредиты и используя уязвимость в смарт-контракте Akropolis.
Злоумышленник смог скрыться с DAI стейблкоина на сумму примерно 2 миллиона долларов, опустошив пулы YCurve и sUSD Akropolis. Украденные средства в настоящее время хранятся в кошельке , который уже отмечен как «кошелек хакеров Akropolis».
Как это случилось
Хакер создал флэш-ссуду для заимствования средств, а затем назвал SavingsModule.deposit с поддельным токеном (его собственный контракт 0xe2307837524db8961c4541f943598654240bd62f) Во время «transferFrom» этого фальшивого токена он сделал еще один депозит с реальными 800k DAI, заимствованными у DyDx. Баланс пула был фактически увеличен во время первого депозита, и в результате наши PoolToken были отчеканены дважды. Таким образом он смог снять почти вдвое большую сумму.
Уникальность эксплойта Akropolis заключается в том, что в отличие от многих других проектов DeFi в космосе, Akropolis утверждает, что дважды проходил независимый аудит. Тем не менее, основатель и генеральный директор Akropolis Ана Андрианова говорит, что два вектора атаки, использованные в это инценденте, были упущены во время проверок.
Вскоре после атаки Akropolis прекратил торговлю всеми своими пулами стейблкоинов, проинформировал биржи цифровых валют об эксплойте и поручил своей команде разработчиков и специалистам по безопасности работу над созданием патча.
Число погибших в DeFi растет
В 2020 году произошло несколько эксплойтов DeFi. По данным аналитической компании CipherTrace , связанные с DeFi , кражи и взломы, связанные с DeFi , растут, в то время как преступность, связанная с цифровой валютой, в целом снижается. Когда дело доходит до DeFi, вы должны проявлять осторожность и тщательно исследовать, прежде чем инвестировать. Экосистема DeFi очень нова, а это означает, что существует несколько неисследованных векторов атак и ошибок, которые ждут своего часа.