“DeFi平臺不作惡,奈何扛不住黑客太多。”
繼4月18日Uniswap被黑客攻擊損失1278枚ETH(價值約22萬美元)之後,4月19日上午8點45分,國產DeFi借貸協議Lendf.Me被曝遭受黑客攻擊,據慢霧科技反洗錢(AML)系統統計顯示,此次Lendf.Me累計損失約2470萬美元,具體盜取的幣種及數額為:
之後攻擊者不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣。
據安全公司透露,dForce團隊追回這筆損失的可能性微乎其微,目前dForce團隊正在定位被攻擊原因,並在網頁端建議所有用戶停止往Lendf.Me協議存入資產。
圖片來源於:Lendf.Me官網
據Defipulse數據顯示,過去24小時內,dForce鎖倉資產美元價值下跌100%至1萬美元,而此前的鎖倉總價值超過2490萬美元。
圖片來源於:Defipulse
據慢霧科技反洗錢(AML)系統監測顯示,Lendf.Me攻擊者正持續不斷將攻擊獲利的PAX轉出兌換ETH,總額近58.7萬枚PAX,使用的兌換平臺包括1inch.exchange、ParaSwap等。攻擊者地址為0xa9bf70a420d364e923c74448d9d817d3f2a77822。
據慢霧安全團隊分析發現,黑客此次攻擊Lendf.Me的手法與昨日攻擊Uniswap手法類似(Odaily星球日報注:黑客利用Uniswap和ERC777的兼容性問題,在進行 ETH-imBTC 交易時,利用ERC777中的多次迭代調用tokensToSend來實現重入攻擊 ),均由於 DeFi 合約缺少重入攻擊保護,導致攻擊者利用 ERC777 中的多次迭代調用 tokensToSend 方法函數來實現重入攻擊,極有可能是同一夥人所為。
慢霧安全團隊詳細分析了此次Lendf.Me攻擊的全過程:
攻擊者首先是存入了 0.00021593 枚 imBTC,但是卻從 Lendf.Me 中成功提現了 0.00043188 枚 imBTC,提現的數量幾乎是存入數量的翻倍。
那麼攻擊者是如何從短短的一筆交易中拿到翻倍的餘額的呢?
通過分析交易流程,慢霧安全團隊發現攻擊者對 Lendf.Me 進行了兩次 supply 函數的調用,但是這兩次調用都是獨立的,並不是在前一筆 supply 函數中再次調用 supply 函數。
緊接著,在第二次 supply 函數的調用過程中,攻擊者在他自己的合約中對 Lendf.Me 的 withdraw 函數發起調用,最終提現。
圖片來源於:慢霧安全團隊
在這裡,攻擊者的 withdraw 調用是發生在 transferFrom 函數中,也就是在 Lendf.Me 通過 transferFrom 調用用戶的 tokensToSend 鉤子函數的時候調用的。很明顯,攻擊者通過 supply 函數重入了Lendf.Me合約,造成了重入攻擊。
此次Lendf.Me協議被攻擊一事也讓大家對dForce的代碼審計方提出質疑,公開信息表明,Lendf.me協議分叉了Compound v1代碼,而Compound v1是 trail of bits這家公司審計的。
Compound創始人Leshner在Lendf.Me被盜一事發生後,也立即發推特表示:“如果一個項目無法足夠專業,無法構建自己的智能合約,而是直接複製,或者在他人智能合約的基礎上稍作修改,那麼他們實際上沒有考慮安全性問題的能力或者意願。希望開發者和用戶能從Lendf.Me事件中吸取教訓。”
圖片來源於:twitter
我們在此建議DeFi開發者們在設計產品時應該自主研發,建立自己的風控機制,提高風控能力。
現在很多用戶擔心自己在Lendf.Me平臺的資產取不出來,根據Odaily星球日報的瞭解,dForce團隊正在全力處理此次攻擊事件,目前尚未給出具體的賠付方案。
接連兩次的DeFi攻擊事件給我們帶來了哪些思考?
從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件,說明黑客已經掌握了DeFi系統性風控漏洞的要害,充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。
DDEX 運營負責人Bowen Wang曾在Odaily星球日報舉辦的「生機」雲峰會上反思bZx事件的影響,“樂高的概念是因為所有積木都是樂高一家生產的,質量非常好。但是DeFi很多的部件質量參差不齊。像發生在 bZx 上的事情說明了一點,當你不是非常瞭解地基的時候,你越建越高反而越危險。”
用木桶理論來解釋DeFi樂高的最大問題,DeFi系統的安全性取決於最短的那塊木板,所以DeFi樂高中只要有一個模塊出了問題,可能就會拖垮整個生態。這就需要DeFi開發者們在代碼層面不斷作出改進和更新,不要一位地追求DeFi產品的高組合性,同時也應該注重不同DeFi產品在安全上的可匹配性。
此外,開發DeFi保險也可以在一定程度上緩解黑客攻擊給DeFi平臺帶來的損失,DeFi保險協議Nexus Mutual為bZx攻擊事件中遭受損失的用戶進行賠償已經為行業做了成功的示範。不過,DeFi 保險產品目前還處於非常早期的開發階段,產品模型和運行方式尚未成熟,也缺乏統一的風險定價系統和賠付金保障機制,大部分保險平臺更像有一定保障性質、對沖幣價波動風險的衍生品工具,或者僅to B的平臺服務。
總得來說,DeFi還處於發展初期,還有很多機制仍需不斷去完善,dForce作為深耕DeFi生態的優質從業者,我們也希望dForce團隊可以挺過這次危機,做好災後重建工作,重塑中國DeFi開發者們的信心。
最新進展
4月20日凌晨,dForce創始人楊民道於Medium發文表示,黑客利用imBTC的ERC 777合約漏洞來實現重入攻擊,Lendf.Me損失了大約2500萬美元。目前,團隊正在開展如下行動:
已與頂級安全公司聯繫,對Lendf.Me進行更全面的安全評估;
與合作伙伴一起制定一項解決方案,對該系統進行資本重組,雖然遭受了這次的襲擊,但我們不會停止腳步;
正與主流交易所、OTC 平臺以及相關執法部門合作,調查情況,阻止被盜資金的轉移,並追蹤黑客。
此外,團隊將在北京時間4月20日晚上11:59在官方博客上提供更詳細的更新。
另據鏈上信息顯示,攻擊者於4月20日凌晨3點左右,向Lendf.Me的admin賬戶轉回了38萬枚HUSD和320枚HBTC。更早之前,慢霧團隊曾監測到,攻擊者還轉回了12.6萬枚PAX,並附言“Better future”。
推薦閱讀:《DeFi守護神是誰?》
參考文章:《慢霧:DeFi平臺Lendf.Me被黑細節分析及防禦建議》
