Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 012Reentrancy

Akropolis Savings Pool Reentrancy

Ein gefälschter ERC-20 mit reentrantem transferFrom ließ einen Angreifer Akropolis' Deposit-Flow erneut betreten und 2 Mio. USD Pool-Anteile prägen.

Datum
Opfer
Akropolis
Chain(s)
Ethereum
Status
Mittel entwendet

Am 12. November 2020 verlor das DeFi-Sparprotokoll Akropolis etwa 2 Millionen US-Dollar in DAI aus seinen yCurve- und sUSD-Sparpools. Der Angreifer deployte einen gefälschten ERC-20-Token, dessen transferFrom die Deposit-Logik von Akropolis re-entrierte und ihm Pool-Anteile gutschrieb, ohne echte Sicherheit zu liefern.

Was geschah

Akropolis' Sparpools folgten einem Standardmuster: Ein Nutzer ruft deposit auf, der Pool zieht die Tokens des Nutzers über transferFrom, dann schreibt er dem Nutzer Pool-Anteile proportional zur Einlage gut.

Der Pool validierte nicht, dass der eingezahlte Token ein legitimer, erwarteter Asset war, und der Deposit-Pfad hatte keinen Reentrancy-Schutz. Der Angreifer nutzte beide Versäumnisse gemeinsam aus:

  1. Deployte einen gefälschten ERC-20-Token, dessen transferFrom einen Callback in Akropolis' deposit-Funktion enthielt.
  2. Rief deposit mit dem gefälschten Token auf.
  3. Als der Pool das transferFrom des gefälschten Tokens aufrief, re-entrierte der Callback deposit — und manipulierte über innerhalb des reentranten Aufrufs verwendete Flash-Loan-DAI die Pool-Buchhaltung so, dass dem Angreifer Pool-Anteile gutgeschrieben wurden, die seinen realen Beitrag weit überstiegen.
  4. Zog die aufgeblähte Anteilsposition für echtes DAI aus dem Pool ab.
  5. Entwendete ~2 Mio. USD über die betroffenen Pools.

Folgen

  • Akropolis pausierte die betroffenen Pools und veröffentlichte ein Post-Mortem.
  • Das Team verpflichtete sich zu einem Entschädigungsplan; die Rückgewinnung vom Angreifer war minimal.
  • Der AKRO-Token und der Ruf des Protokolls wurden erheblich beschädigt.

Warum es wichtig ist

Akropolis ist einer der frühesten „Fake-Token + Reentrancy"-Kombi-Exploits in DeFi — er liegt vor den bekannteren Instanzen Grim Finance (2021), BurgerSwap (2021) und Orion Protocol (2023) desselben Musters.

Der zusammengesetzte Bug ist immer dieselben zwei Versäumnisse:

  1. Keine Validierung, dass der eingezahlte/getauschte Token ein legitimer erwarteter Asset ist (die Pickle / Cashio-Klasse „vertrauenswürdige Adresse von nicht vertrauenswürdigem Aufrufer").
  2. Kein Reentrancy-Guard auf dem Deposit-Pfad (die DAO-Klasse).

Einzeln ist jedes oft überlebbar; gemeinsam sind sie ein vollständiges Drain-Primitiv. Akropolis im November 2020 ist eine der ersten sauberen Instanzen im Katalog — und die Tatsache, dass genau dieser zusammengesetzte Bug jahrelang danach über Chains und Teams hinweg wiederkehrte, ist eine der klarsten Demonstrationen des Katalogs, dass das Wissen einer Branche um eine Schwachstellenklasse einzelne Teams nicht davon abhält, sie auszuliefern. Die defensiven Primitive (Token-Allowlists + nonReentrant) waren 2020 frei verfügbar und sind es heute noch; der Bug wird trotzdem weiter ausgeliefert.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-akropolis-hack-november-2020
  2. [02]decrypt.cohttps://decrypt.co/48081/defi-platform-akropolis-admits-to-being-hacked-for-2-million
  3. [03]rekt.newshttps://rekt.news/akropolis-rekt

Verwandte Einträge