去中心化金融(DeFi)平台 Akropolis 昨日深夜遭到駭客以閃電貸攻擊,自 yCurve 和 sUSDC 兩個流動性資金池抽走價值超過 200 萬美元的穩定幣 DAI。該平台執行長 Ana Andrianova 預計將在今日稍晚公布詳細的檢討報告。
臺北時間昨(12)日深夜,駭客透過 dYdX 閃電貸(flash loan)對 DeFi 平台 Akropolis 進行重入攻擊(reentrancy),分為四次從 yCurve 和 sUSD 資金池抽走了總價值超過 200 萬美元的穩定幣 DAI。
根據 Akropolis 官方公告,目前被盜資金存放在 0x9f26aE5cd245bFEeb5926D61497550f79D9C6C1c 地址中。遭盜資金池屬於該協議的流動性挖礦平台 Delphi,目前除了上述兩個池以外,Delphi 的其他資金並未受到影響,但 Akropolis 已經先將穩定幣池暫時關停。
而有關 Delphi 在智能合約安全上的疑慮,該公告寫道:
這些資金池已經由兩家獨立的公司進行了審計,但是,在兩次審計中均未發現被用作攻擊媒介的合約漏洞。
外媒《CoinDesk》引述 Akropolis 團隊在 Discord 的說法,Delphi 儲蓄池的審計一次是由 CertiK 進行,另一次則由 SmartDec 和 Pessimistic 公司合作完成。
其中引起社群注意的是,Certik 也是今年內傳出三起攻擊的 DeFi 協議平台 bZx 的審核公司之一。
延伸閱讀:今年第三起!借貸協議 bZx 再傳攻擊事件,損失 800 萬美元全由保險基金承擔
區塊鏈數據公司 The Block 研究員 Steven Zheng 也推文指出了該名駭客的行動,懷疑是和 Harvest Finance 上個月遭遇的閃電貸攻擊類似,但 Akropolis 創辦人兼執行長 Ana Andrianova 回應表示兩者不太一樣。
動區此前報導,攻擊 Harvest 的駭客是以閃電貸向 Uniswap 借出大量 USDC 和 USDT,藉由 Curve 平台將 USDT 換成 USDC,再將 USDC 全數存入 Y 池導致該代幣出現嚴重滑價。
之後充值貶值的 USDC 進 Harvest Vault,促使它鑄出超過原本應有量的 fUSDC,最後將這些 fUSDC 換回價格恢復水準的 USDC 套利。反覆操作後,估計吸走 2,400 萬美元資金。
延伸閱讀:Harvest 攻擊者的上億「洗錢工具」: Incognito 賦予DeFi「無痕模式」提供跨鏈隱私
Andrianova 向《CoinDesk》透露,Delphi 重入攻擊的進一步分析報告將在本日公布。
而根據官方公告,Akropolis 在檢視智能合約問題的同時,也正在探索具永續性的補償方案以彌補用戶,並承諾在做成任何最終決定之前,會先向社群提案。
📍相關報導📍
10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%
瑞波|冷錢包 Ledger 驚傳大規模釣魚攻擊,駭客已盜走「28 萬美元 — 115萬顆 XRP」
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務