比推消息，周六慢雾发布DeFi协议Akropolis重入攻击事件简析。1. 攻击者使用自己创建的token进行deposit，此时Akropolis合约会先记录一次合约中所有代币的总量； 2. Akropolis合约调用用户自己创建的token的transferFrom函数的时候，攻击者在transferFrom函数中重入Akropolis合约的deposit函数，并转入DAI到Akropolis合约中； 3. 此时在重入的交易中，由于Akropolis合约会先获取合约中所有代币的总量，这个值和第一次调用deposit函数获取的合约代币总量的值一致； 4. Akropolis合约计算充值前后合约中代币总量的差值，攻击者在充值DAI后，会得到一定量的Delphi token，获得token的数量就是充值DAI的数量； 5. 铸币完成后，流程回到第一次deposit往下继续执行，这时合约会再次获取合约中所有代币的总量，这时由于在重入交易时，攻击者已经转入一定量的DAI，所以得到的代币总余额就是攻击者在重入交易完成后的代币总余额； 6. 此时合约再次计算差值，由于第一次deposit的时候合约中所有代币的总量已经保存，此时计算出来的差值和重入交易中计算的差值一致，Akropolis合约再次铸币给攻击者。总结：攻击者使用自己构造的token，对Akropolis合约的deposit函数进行重入，导致Akropolis合约使用相同的差值铸币了两次，但是只触发了一次转账，当攻击者提现的时候，就可以提两倍的收益，从而获利。