Akropolis Delphi漏洞利用 概括 2020年11月12日,攻击者利用了合同中的一系列漏洞。 在几笔交易的过程中,他们能够从自己的资金池中提取超过200万dai 。 背景 创建Akropolis Delphi项目是为了使用户能够轻松连接到底层的DeFi协议(如 。 用户因这样做而获得了Delphi治理令牌的奖励,并将向该平台添加一些创新功能。 他们网站上的存放界面限制了用户为基础协议存放适当的令牌; 不幸的是,基础的SavingsModule合同本身并未强制执行此检查。 通过直接与合同进行交互,用户可以将任何令牌存储到系统中,以换取基础池令牌。 存在第二个漏洞,可以通过depositToProtocol重新打开SavingsModule合同以重新进入。 假定此方法调用令牌的transferFrom方法,则理论上令牌令牌可以重新输入SavingsModule 。 这个仓库