黑客越来越“猖狂”了。
据外媒报道,4月19日上午,国产DeFi借贷协议Lendf.Me被曝遭受黑客攻击,据悉,黑客利用imBTC的ERC777合约漏洞来实现重入攻击,Lendf.Me损失了大约2500万美元。据安全公司透露,dForce团队追回这笔损失的可能性微乎其微,目前dForce团队正在定位被攻击原因,并在网页端建议所有用户停止往Lendf.Me协议存入资产。而在今日上午,攻击者目前共向DeFi借贷协议Lendf.Me归还38万枚HUSD、320枚HBTC和12.6万枚PAX,并留下纸条:“下次好运”。
网友也笑称其为“黑客提款机”。
什么是Lendf.Me?
可能很多童鞋对Lendf.Me是什么还很陌生,所以在这之前,雷锋网先带大家了解下Lendf.Me是什么。
简单来说,Lendf.Me是dForce旗下的一个借贷协议。
据其官网介绍,dForce是一个基于区块链的去中心化金融和货币协议平台,同时也是第一个获得世界领先商业银行战略投资的稳定币和DeFi协议平台,旨在为开放式金融应用程序提供底层基础设施。团队核心成员来自高盛、渣打、花旗、弘毅等顶尖金融机构的精英人员和数字货币行业的早期参与者。
Avalanche链上DeFi锁仓量超111亿美元创新高,AAVE居首位:11月18日,DeFi LIama数据显示,Avalanche(雪崩协议)链上DeFi锁仓量超过111亿美元,创历史新高。其中,AAVE锁仓量为32.3亿美元,占比29%,位居首位;Trader Joe以21.9亿美元排名第二;Benqi以14.1亿美元位居第三。[2021/11/18 22:00:10]
2019年9月,dForce首个由社区开发者主导开发的去中心化借贷协议Lendf.Me正式发布。据其官网介绍,Lendf.Me是基于全球资金池模式的去中心化货币市场,可以为用户提供灵活、便捷的理财和贷款服务,其中包括:
USDx生息:活期理财,随存随取;USDx贷款:抵押ETH,获得USDx贷款。针对存款方:
将USDx存入http://Lendf.Me获取利息收入;闲置资金活期理财,更高收益、更低风险、更好的流动性。针对借贷方:
报告:DeFi在2021年因黑客和欺诈损失4.74亿美元:金色财经报道,根据区块链取证公司CipherTrace的一份新报告,在今年前七个月,与DeFi相关的黑客和欺诈使协议及其用户损失了4.74亿美元。虽然整体加密货币欺诈和犯罪已大幅下降,但CipherTrace预计,DeFi黑客造成的损失比去年全年高出了270%。[2021/8/10 1:46:49]
避免卖币套现错失资产升值的用户:不用变卖手上的数字资产,通过抵押的方式参与USDx借贷,通过支付少量的贷款利息,获取更高的资产增值。需要更多资金投资优质资产的用户:通过资产抵押的方式获取流动现金,投资于优质标的,加快资产增长速度。值得注意的是,用户通过Lendf.Me进行USDx存款不收取任何费用;申请USDx贷款只需要承担0.05%的一次性手续费。
那么,黑客又是如何对其攻击的呢?
Lendf.Me2500万美元被洗劫一空
据外媒ZDnet报道,黑客似乎把不同区块链技术的漏洞和合法功能联系在一起,精心策划了一场复杂的“重入攻击”。而重入攻击允许黑客在原始交易被批准或拒绝之前,在一个循环中反复提取资金。
尽管该攻击的细节尚未透露,但值得注意的是,在1月份,Lendf.Me与imBTC集成。4月18日,imBTC在Uniswap去中心化交易所的流动池被攻击,导致价值约30万美元的代币损失。
DeFi基准利率今日为3.37%:金色财经报道,据同伴客数据显示,06月04日DeFi去中心化金融基准利率为3.37%,较前一日上涨0.09%。同期美国国债抵押回购率(Repo Rate)为0.01%,二者利率差为3.36%。
DeFi基准利率代表了DeFi融资难易程度,利率越高说明融资成本越高,利率越低说明融资成本越低。其与Repo Rate的利率差则便于DeFi与传统市场作进行同类比较。[2021/6/4 23:12:01]
通过初步分析,安全研究人员认为Uniswap和Lendf.me手法类似,极有可能是同一伙人所为。
Uniswap和Lendf.me的相似之处在于,这两个平台都在使用:Lendf.me协议、imBTC和ERC-777。
雷锋网了解到,imBTC是imToken推出的以太坊区块链上的BTC代币,ERC777是在ERC20基础上推出的代币标准,兼容ERC20,并在ERC20的基础上增加了一些新的特性。
imBTC本身并没有安全问题。但ERC-777代币与Lendf.Me合约组合,就会产生重入攻击漏洞。
正是如此,黑客才能利用漏洞,在Lendf.Me上重复铸造出了6700多枚假的imBTC,并以此为抵押,将Lendf.Me上的资产洗劫一空,并立即不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币,还将其余部分赃款转入了借贷平台Compound和Aave。
报告:以太坊DeFi应用2月活跃用户同比增长294%,EOS整体下降80%:数据分析平台DappRadar在最新的月度报告中对比了以太坊、EOS和波场项目在DApp使用中的活跃用户(以独立地址计算)情况,整体来看以太坊增长显著,EOS下降明显,而波场继续关注在高风险的领域。
具体数据来看,2020年2月相比2019年2月时,以太坊的日活跃用户增加104%,所有运行在以太坊的DApp中ETH和ERC-20代币的美元总价值增加683%,而DeFi领域增长最明显,活跃用户数增加294%;EOS活跃数据的下降横跨所有类别的DApp,2月的活跃用户数相比去年同期下降80%;波场项目继续关注在和高风险应用的领域,占了所有活跃用户的89%,日活跃用户提升5%,DApp中的美元总价值增加33%。[2020/3/11]
截止目前,Lendf.Me2500万美元被洗劫一空,虽然攻击者今日归还了部分,但依旧杯水车薪,同时其安全性也受到业内同行的质疑。
Compound创始人Leshner在Lendf.Me被盗一事发生后,也立即发推特表示:
动态 | 世界金融科技DeFi峰会·香港站今日启幕:据悉,继12月12日韩国济州站后,由GCA总冠名的世界金融科技DeFi峰会第二站于今日(12月30日)在香港举行,GCA将开启中华区市场布局。本次大会以“创新金融,变革世界”为主题,出席会议的有中央财经大学教授王福重、GCA亚洲布道大使Nicholas khoo ka Hien、印度金融专家AMIT SADHWANI、GCA?CEO Josh Holt等经济领域的专家学者,大会围绕区块链的金融应用、数字产业、区块链行业发展趋势和热门话题进行讨论,目的在于探讨如何更好赋能区块链金融DeFi生态。[2019/12/30]
“如果一个项目无法足够专业,无法构建自己的智能合约,而是直接复制,或者在他人智能合约的基础上稍作修改,那么他们实际上没有考虑安全性问题的能力或者意愿。希望开发者和用户能从lendf.Me事件中吸取教训。”
dForce创始人杨民道也立即发声明称:目前团队正在积极补救,包括:
1.与顶尖安全团队合作,对Lendf.Me进行更为全面的安全评估;
2.与合作伙伴积极探讨可行的解决方案。虽然我们遭遇了攻击,但我们不会就此被打倒。
3.与主流交易所、OTC交易商、机构积极配合展开相关调查,竭尽全力追索被盗款项,追踪黑客动态。
为此,安全研究人员也解释了DeFi为何总是被黑客攻击:DeFi的最大特性在于其开放性:一是对用户的开放性,二是合约间的开放性,所以DeFi只要有一个模块出了问题,可能就会拖垮整个生态,因此极易成为黑客的攻击目标。从今年年初的bZx攻击事件再到Uniswap和dForce的攻击事件,已经充分说明黑客已经掌握了DeFi系统性风控漏洞的要害,充分利用DeFi的可组合性对DeFi接二连三地实施攻击。
所以安全研究人员建议DeFi开发者们在代码层面不断作出改进和更新,不要一位地追求DeFi产品的高组合性,同时也应该注重不同DeFi产品在安全上的可匹配性。
附dForce声明:
2020年4月19日,dForce生态里的货币市场Lendf.Me遭遇黑客攻击,导致市值约两千五百万美金的资产从合约里被取出。
北京时间早9:15分左右,我们通过内部监控系统发现了黑客的异常转账行为。随即我们暂停了Lendf.Me和USDx合约,并临时关闭网站以对黑客活动进行调查。现在调查仍在进行中,我们已经掌握了部分有关黑客的信息,目前来看黑客已经停止攻击。
此次黑客攻击主要是利用imBTC资产ERC777标准的漏洞进行了重入攻击。回调机制允许黑客反复将伪造的imBTC作为抵押物借出款项。
截至发稿,黑客试图联系我们,我们也表达了沟通的意愿。
此次攻击伤害到的不仅仅是我们的用户、合作伙伴,同时也严重伤害了我、我的合伙人以及整个团队的利益。我个人也在本次黑客攻击中遭到了严重的经济损失。
这次意外是我的失误,我有勇气面对接下来的挑战。虽然不一定能完全规避该类恶性事件的发生,但我们本该采取更好的预防措施。我会尽全力改善目前的状况,同时也真诚地向我们的用户、投资人、合作伙伴道歉,对不起,我们让大家失望了。
我们将于北京时间2020年4月20日23:59分前,向社区提供进一步的说明解释。
自事发至今,我们一直努力在寻求妥善的解决方案,包括:
1.与顶尖安全团队合作,对Lendf.Me进行更为全面的安全评估;
2.与合作伙伴积极探讨可行的解决方案。虽然我们遭遇了攻击,但我们不会就此被打倒。
3.与主流交易所、OTC交易商、机构积极配合展开相关调查,竭尽全力追索被盗款项,追踪黑客动态。
虽然此次黑客攻击对我们造成了严重的伤害,但我们不会就此一蹶不振。自事发起至今,我收到了无数的慰问、鼓励和支持。我对dForce社区给予我们的关怀与帮助深表感激,我们也将继续努力奋战,不会放弃任何希望。
dForce创始人
杨民道
雷锋网雷锋网雷锋网
参考资料:
https://decrypt.co/26033/dforce-lendfme-defi-hack-25m
https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/
https://www.theblockcrypto.com/linked/62346/multicoin-capital-backed-defi-protocol-dforce-loses-25m-total-locked-value-in-an-exploit
https://www.coindesk.com/attacker-drains-decentralized-protocol-dforce-of-25m-in-weekend-attack
https://mp.weixin.qq.com/s/wRiWOZKRfpQfAwwJ2K9-sg
https://github.com/OpenZeppelin/exploit-uniswap
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。