2020年4月19日,dForce生態裡的貨幣市場Lendf.Me遭遇黑客攻擊,導致市值約兩千五百萬美金的資產從合約裡被取出。
具體盜取的幣種及數額為:
4月20日凌晨,dForce創始人楊民道於Medium發文表示,北京時間早9:15分左右,他們通過內部監控系統發現了黑客的異常轉賬行為。
隨即暫停了Lendf.Me 和 USDx 合約,並臨時關閉網站以對黑客活動進行調查。與此同時,dForce團隊在網頁端建議所有用戶停止往Lendf.Me協議存入資產。
DeFi被盜頻發
盜取資產後,Lendf.Me攻擊者正持續不斷將攻擊獲利的近58.7萬枚PAX,通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺兌換成ETH,PAX攻擊者地址為0xa9bf70a420d364e923c74448d9d817d3f2a77822。
2019 年 9 月,dForce 首個由社區開發者主導開發的去中心化借貸協議 Lendf.Me 正式發佈。
據其官網介紹,Lendf.Me 是基於全球資金池模式的去中心化貨幣市場,可以為用戶提供靈活、便捷的理財和貸款服務 。
針對借貸方:值得注意的是,用戶通過 Lendf.Me 進行 USDx 存款不收取任何費用;申請 USDx 貸款只需要承擔 0.05% 的一次性手續費。
那麼,黑客又是如何對其攻擊的呢?
此次黑客攻擊主要是利用imBTC資產ERC777標準的漏洞進行了重入攻擊,這也是之前Uniswap被盜的原因。
由於 DeFi 合約缺少重入攻擊保護,導致攻擊者利用 ERC777 中的多次迭代調用 tokensToSend 方法函數來實現重入攻擊,極有可能是同一夥人所為。
從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件,說明黑客已經掌握了DeFi系統性風控漏洞的要害,充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。
隨著 DeFi 賽道的脫穎而出和備受關注,黑客也早早開始研究相關產品的漏洞。
可是DeFi還處於發展初期,DeFi 產品的風控設計、價格預言機的資金量、智能合約的安全審計等均有待加強,總體來說目前DeFi的項目質量參差不齊。
據 PeckShield(派盾)統計,2019 年共發生 7 起典型的 DeFi 攻擊事件,在剛剛過去的 2 月,又發生了 4 起 DeFi 安全事件,DeFi 安全問題已日趨凸顯。
神轉折
其實dForce團隊追回這筆損失的可能性微乎其微,神轉折卻突然出現。
據鏈上信息顯示,攻擊者於4月20日凌晨3點左右,向Lendf.Me的admin賬戶轉回了38萬枚HUSD和320枚HBTC。
更早之前,攻擊者還轉回了12.6萬枚PAX,並附言“Better future”。
於是在事故發生的第三天也就是4月21日,一筆1.75億人民幣的超級鉅款,居然在被盜之後如數歸還,此舉可謂在“黑客史”上史無前例。
之所以選擇第一時間還幣,最有可能的是黑客本人的真實身份已經被dForce所掌握,通過dForce的溝通和談判,從而追回了全部損失。
在此次事件中,dForce創始人楊民道始終一直努力在尋求妥善的解決方案,包括:1. 與頂尖安全團隊合作,對Lendf.Me進行更為全面的安全評估;2. 與合作伙伴積極探討可行的解決方案。
雖然我們遭遇了攻擊,但我們不會就此被打倒。3. 與主流交易所、OTC交易商、公安機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。
積極正面應對被盜事件的dForce,沒有放棄任何希望,這體現了平臺本身的責任感和業內的影響力。
可是DeFi被盜事件頻發,說明DeFi存在重大漏洞,這將為整個DeFi行業敲響警鐘。對於金融資產來說,安全永遠是最重要的,DeFi領域也不是例外。
下一次,我們不會再如此幸運地碰上這麼一個“有個性”的黑客了。
