近日,黑客從Uniswap交易所和Lendf.me借貸平臺竊取了總值超過2500萬美元的加密貨幣。這一次黑客攻擊在上週週六和週日分別發生了兩波,這兩波攻擊貌似相關,並且很可能是同一團體或個人所為。目前案件正在調查中。
加密貨幣(圖源ZDNet)
據調查估計,這次攻擊中黑客似乎是將來自不同區塊鏈技術的漏洞和合法功能鏈接在一起,組織了複雜的“重入攻擊”,以使得黑客可以在原始交易被批准或拒絕之前循環重複提取資金,他們將資金從平臺轉移到他們的錢包中,然後立即將資金轉移到其他帳戶。
Uniswap和Lendf.me的相似之處在於兩個平臺都使用Lendf.me協議(一種去中心化金融(DeFi)協議,用於支持以太坊平臺上的借貸操作)、imBTC(在以太坊平臺上運行的代幣,與比特幣的比率為1:1)和ERC-777(以太坊區塊鏈支持智能合約的基礎技術之一)。
據此,imBTC背後的公司Tokenlon表示ERC-777的代幣標準不存在什麼安全漏洞,但是黑客可以結合ERC777和Uniswap/Lendf.Me合同實現重入攻擊。Tokenlon認為黑客可能使用了OpenZeppelin(該公司對加密貨幣平臺執行安全審核)於2019年7月在GitHub上發佈的漏洞。
Uniswap在此次黑客攻擊中損失最高可達110萬美元,而Lendf.me損失了超過2450萬美元。這兩個網站目前均已關閉,以防止進一步被攻擊。同時,Tokenlon還關閉了其imBTC代幣服務,並暫停新交易,以防止黑客對其他平臺進行新的攻擊。
分享到:
