臺北時間昨（12）日深夜，駭客透過 dYdX 閃電貸（flash loan）對 DeFi 平台 Akropolis 進行重入攻擊（reentrancy），分為四次從 yCurve 和 sUSD 資金池抽走了總價值超過 200 萬美元的穩定幣 DAI。

根據 Akropolis 官方公告，目前被盜資金存放在 0x9f26aE5cd245bFEeb5926D61497550f79D9C6C1c 地址中。遭盜資金池屬於該協議的流動性挖礦平台 Delphi，目前除了上述兩個池以外，Delphi 的其他資金並未受到影響，但 Akropolis 已經先將穩定幣池暫時關停。

而有關 Delphi 在智能合約安全上的疑慮，該公告寫道：

這些資金池已經由兩家獨立的公司進行了審計，但是，在兩次審計中均未發現被用作攻擊媒介的合約漏洞。

外媒《CoinDesk》引述 Akropolis 團隊在 Discord 的說法，Delphi 儲蓄池的審計一次是由 CertiK 進行，另一次則由 SmartDec 和 Pessimistic 公司合作完成。

其中引起社群注意的是，Certik 也是今年內傳出三起攻擊的 DeFi 協議平台 bZx 的審核公司之一。

延伸閱讀：今年第三起！借貸協議 bZx 再傳攻擊事件，損失 800 萬美元全由保險基金承擔

區塊鏈數據公司 The Block 研究員 Steven Zheng 也推文指出了該名駭客的行動，懷疑是和 Harvest Finance 上個月遭遇的閃電貸攻擊類似，但 Akropolis 創辦人兼執行長 Ana Andrianova 回應表示兩者不太一樣。

動區此前報導，攻擊 Harvest 的駭客是以閃電貸向 Uniswap 借出大量 USDC 和 USDT，藉由 Curve 平台將 USDT 換成 USDC，再將 USDC 全數存入 Y 池導致該代幣出現嚴重滑價。

之後充值貶值的 USDC 進 Harvest Vault，促使它鑄出超過原本應有量的 fUSDC，最後將這些 fUSDC 換回價格恢復水準的 USDC 套利。反覆操作後，估計吸走 2,400 萬美元資金。

延伸閱讀：Harvest 攻擊者的上億「洗錢工具」: Incognito 賦予DeFi「無痕模式」提供跨鏈隱私

Andrianova 向《CoinDesk》透露，Delphi 重入攻擊的進一步分析報告將在本日公布。

而根據官方公告，Akropolis 在檢視智能合約問題的同時，也正在探索具永續性的補償方案以彌補用戶，並承諾在做成任何最終決定之前，會先向社群提案。

轉貼自READ MORE ARTICLES FROM： BlockTempo 動區

若喜歡本文，請關注我們的臉書 Please Like our Facebook Page：Big Data In Finance