Lendf.Me遭黑客攻击损失约2470万美元,DeFi为何安全问题频发_END:DEFI

“DeFi平台不作恶,奈何扛不住黑客太多。”继4月18日Uniswap被黑客攻击损失1278枚ETH之后,4月19日上午8点45分,国产DeFi借贷协议Lendf.Me被曝遭受黑客攻击,据慢雾科技反(AML)系统统计显示,此次Lendf.Me累计损失约2470万美元,具体盗取的币种及数额为:

之后攻击者不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币。据安全公司透露,dForce团队追回这笔损失的可能性微乎其微,目前dForce团队正在定位被攻击原因,并在网页端建议所有用户停止往Lendf.Me协议存入资产。

数据:Blur旗下Blend交易总额突破10亿美元,累计撮合超7万笔借贷交易:6月26日消息,据Dune数据显示,Blur旗下NFT借贷协议Blend交易总额已突破10亿美元,现为1,005,809,756美元。此外,Blend已累计撮合超7万笔贷款交易,其中活跃NFT贷款交易总量为2,760笔,活跃贷款总额为14,932枚ETH。[2023/6/26 22:00:42]

图片来源于:Lendf.Me官网据Defipulse数据显示,过去24小时内,dForce锁仓资产美元价值下跌100%至1万美元,而此前的锁仓总价值超过2490万美元。

OKX Lennix:欧易OKX将提升POR透明度至传统金融审计标准:1月9日消息,OKX全球机构业务部董事总经理Lennix受邀出席POW'ER 2023 香港Web3创新者峰会,并发表《从香港看全球,如何把握Web3时代机遇》主题演讲。

Lennix表示,欧易OKX通过基于默尔克树的储备证明PoR以及独立托管地址功能,有效的规避了中心化审计的风险,正实现与传统金融一样的资产透明度,所有用户都可以在欧易OKX官网上查看两次 PoR 审计结果,并可使用自我查验功能和开源工具进行验证。除了定期公布PoR报告外,未来欧易OKX还会借助零知识证明等技术,不断提高透明度,竭力保护用户资产安全。通过技术手段的提升,PoR的透明度可以达到传统金融审计标准。[2023/1/9 11:02:19]

dForce团队证实Lendf.Me遭攻击:dForce借贷市场Lendf.Me在北京时间8点45分(区块高度:9899681)遭受攻击,目前技术团队已经定位问题,并在网页端建议所有用户停止往借贷协议存入资产,进一步消息等待dForce官方公布。目前网站已无法上线,用户反映已经无法提取资产。链上数据显示,黑客以滚雪球的方式多笔转走imBTC,且每一笔都比上一笔翻倍。目前平台上多个资金的利用率已经高达99%,imBTC的资金利用率则为100%。黑客已将资产转入Compound和Aave这两个平台。

Lendf.Me是由dForce主导开发的去中心化借贷市场协议。1天前,一名攻击者通过ERC-777在Uniswap流动性池合约的重入漏洞,对ETH-imBTC池循环套利,造成流动池提供者损失。去中心化交易平台Tokenlon宣布暂停imBTC合约的转账功能。imBTC是一个1:1锚定比特币的ERC-20代币。[2020/4/19]

图片来源于:Defipulse据慢雾科技反系统监测显示,Lendf.Me攻击者正持续不断将攻击获利的PAX转出兑换ETH,总额近58.7万枚PAX,使用的兑换平台包括1inch.exchange、ParaSwap等。攻击者地址为0xa9bf70a420d364e923c74448d9d817d3f2a77822。据慢雾安全团队分析发现,黑客此次攻击Lendf.Me的手法与昨日攻击Uniswap手法类似,均由于DeFi合约缺少重入攻击保护,导致攻击者利用ERC777中的多次迭代调用tokensToSend方法函数来实现重入攻击,极有可能是同一伙人所为。慢雾安全团队详细分析了此次Lendf.Me攻击的全过程:攻击者首先是存入了0.00021593枚imBTC,但是却从Lendf.Me中成功提现了0.00043188枚imBTC,提现的数量几乎是存入数量的翻倍。那么攻击者是如何从短短的一笔交易中拿到翻倍的余额的呢?通过分析交易流程,慢雾安全团队发现攻击者对Lendf.Me进行了两次supply()函数的调用,但是这两次调用都是独立的,并不是在前一笔supply()函数中再次调用supply()函数。紧接着,在第二次supply()函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的withdraw()函数发起调用,最终提现。

声音 | 埃及国民银行主席:加入RippleNet将提振NBE流动性管理和外币资产:埃及国民银行(NBE)宣布加入RippleNet网络,媒体分析此举实际上是希望进入新市场,特别是扩展其在海湾地区的汇款业务。NBE主席Dalia El-Baz表示,他预计RippleNet将呈指数增长,从而提振该机构的流动性管理和外币资产。在获得更快、更高效的跨境支付机制方面,国家银行希望扩大其客户群,同时确保用户完全遵守国际保险标准,并在区块链上实现高水平的运营网络安全。(CoinTelegraph)[2020/2/12]

图片来源于:慢雾安全团队在这里,攻击者的withdraw()调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的tokensToSend()钩子函数的时候调用的。很明显,攻击者通过supply()函数重入了Lendf.Me合约,造成了重入攻击。此次Lendf.Me协议被攻击一事也让大家对dForce的代码审计方提出质疑,公开信息表明,Lendf.me协议分叉了Compoundv1代码,而Compoundv1是trailofbits这家公司审计的。Compound创始人Leshner在Lendf.Me被盗一事发生后,也立即发推特表示:“如果一个项目无法足够专业,无法构建自己的智能合约,而是直接复制,或者在他人智能合约的基础上稍作修改,那么他们实际上没有考虑安全性问题的能力或者意愿。希望开发者和用户能从Lendf.Me事件中吸取教训。”

动态 | RippleNet成员Nium获得印尼央行跨境支付许可:RippleNet成员Nium(InstaREM)获得印尼央行跨境支付许可。NIUM联合创始人兼首席执行官Prajit Nanu表示,印尼境内外跨境支付市场潜力巨大。在获得跨境支付许可后,印尼消费者和中小企业将可以通过NIUM的数字货币转账服务在全球60多个不同地点进行跨境支付。(bitcoinexchangeguide)[2019/11/14]

图片来源于:twitter我们在此建议DeFi开发者们在设计产品时应该自主研发,建立自己的风控机制,提高风控能力。现在很多用户担心自己在Lendf.Me平台的资产取不出来,根据Odaily星球日报的了解,dForce团队正在全力处理此次攻击事件,目前尚未给出具体的赔付方案。接连两次的DeFi攻击事件给我们带来了哪些思考?

从今年年初的bZx攻击事件再到Uniswap和dForce的攻击事件,说明黑客已经掌握了DeFi系统性风控漏洞的要害,充分利用DeFi的可组合性对DeFi接二连三地实施攻击。DDEX运营负责人BowenWang曾在Odaily星球日报举办的「生机」云峰会上反思bZx事件的影响,“乐高的概念是因为所有积木都是乐高一家生产的,质量非常好。但是DeFi很多的部件质量参差不齐。像发生在bZx上的事情说明了一点,当你不是非常了解地基的时候,你越建越高反而越危险。”用木桶理论来解释DeFi乐高的最大问题,DeFi系统的安全性取决于最短的那块木板,所以DeFi乐高中只要有一个模块出了问题,可能就会拖垮整个生态。这就需要DeFi开发者们在代码层面不断作出改进和更新,不要一位地追求DeFi产品的高组合性,同时也应该注重不同DeFi产品在安全上的可匹配性。此外,开发DeFi保险也可以在一定程度上缓解黑客攻击给DeFi平台带来的损失,DeFi保险协议NexusMutual为bZx攻击事件中遭受损失的用户进行赔偿已经为行业做了成功的示范。不过,DeFi保险产品目前还处于非常早期的开发阶段,产品模型和运行方式尚未成熟,也缺乏统一的风险定价系统和赔付金保障机制,大部分保险平台更像有一定保障性质、对冲币价波动风险的衍生品工具,或者仅toB的平台服务。总得来说,DeFi还处于发展初期,还有很多机制仍需不断去完善,dForce作为深耕DeFi生态的优质从业者,我们也希望dForce团队可以挺过这次危机,做好灾后重建工作,重塑中国DeFi开发者们的信心。最新进展

4月20日凌晨,dForce创始人杨民道于Medium发文表示,黑客利用ERC777与DeFi智能合约的兼容问题实现重入攻击,Lendf.Me损失了大约2500万美元。目前,团队正在开展如下行动:已与顶级安全公司联系,对Lendf.Me进行更全面的安全评估;与合作伙伴一起制定一项解决方案,对该系统进行资本重组,虽然遭受了这次的袭击,但我们不会停止脚步;正与主流交易所、OTC平台以及相关执法部门合作,调查情况,阻止被盗资金的转移,并追踪黑客。此外,团队将在北京时间4月20日晚上11:59在官方博客上提供更详细的更新。另据链上信息显示,攻击者于4月20日凌晨3点左右,向Lendf.Me的admin账户转回了38万枚HUSD和320枚HBTC。更早之前,慢雾团队曾监测到,攻击者还转回了12.6万枚PAX,并附言“Betterfuture”。

推荐阅读:《DeFi守护神是谁?》参考文章:《慢雾:DeFi平台Lendf.Me被黑细节分析及防御建议》

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:31ms0-0:988ms