黑客越來越“猖狂”了。
據外媒報道,4 月 19 日上午,國產 DeFi 借貸協議 Lendf.Me 被曝遭受黑客攻擊,據悉,黑客利用 imBTC 的 ERC 777 合約漏洞來實現重入攻擊,Lendf.Me 損失了大約 2500 萬美元。據安全公司透露,dForce 團隊追回這筆損失的可能性微乎其微,目前dForce 團隊正在定位被攻擊原因,並在網頁端建議所有用戶停止往 Lendf.Me 協議存入資產。而在今日上午,攻擊者目前共向 DeFi 借貸協議 Lendf.Me 歸還 38 萬枚 HUSD、320 枚 HBTC 和 12.6 萬枚 PAX ,並留下紙條:“下次好運”。
網友也笑稱其為“黑客提款機”。
什麼是 Lendf.Me ?
可能很多童鞋對 Lendf.Me 是什麼還很陌生,所以在這之前,雷鋒網先帶大家瞭解下 Lendf.Me 是什麼。
簡單來說,Lendf.Me 是 dForce 旗下的一個借貸協議。
據其官網介紹,dForce是一個基於區塊鏈的去中心化金融(DeFi)和貨幣協議平臺,同時也是第一個獲得世界領先商業銀行戰略投資的穩定幣和 DeFi 協議平臺,旨在為開放式金融應用程序提供底層基礎設施。團隊核心成員來自高盛、渣打、花旗、弘毅等頂尖金融機構的精英人員和數字貨幣行業的早期參與者。
2019 年 9 月,dForce 首個由社區開發者主導開發的去中心化借貸協議 Lendf.Me 正式發佈。據其官網介紹,Lendf.Me 是基於全球資金池模式的去中心化貨幣市場,可以為用戶提供靈活、便捷的理財和貸款服務,其中包括:
USDx 生息:活期理財,隨存隨取;
USDx 貸款:抵押 ETH,獲得 USDx 貸款。
針對存款方:
將USDx存入http://Lendf.Me獲取利息收入;
閒置資金活期理財,更高收益、更低風險、更好的流動性。
針對借貸方:
避免賣幣套現錯失資產升值的用戶:不用變賣手上的數字資產,通過抵押的方式參與 USDx 借貸,通過支付少量的貸款利息,獲取更高的資產增值。
需要更多資金投資優質資產的用戶:通過資產抵押的方式獲取流動現金,投資於優質標的,加快資產增長速度。
值得注意的是,用戶通過 Lendf.Me 進行 USDx 存款不收取任何費用;申請 USDx 貸款只需要承擔 0.05% 的一次性手續費。
那麼,黑客又是如何對其攻擊的呢?
Lendf.Me 2500 萬美元被洗劫一空
據外媒 ZDnet 報道,黑客似乎把不同區塊鏈技術的漏洞和合法功能聯繫在一起,精心策劃了一場複雜的“重入攻擊”。而重入攻擊允許黑客在原始交易被批准或拒絕之前,在一個循環中反覆提取資金。
儘管該攻擊的細節尚未透露,但值得注意的是,在 1 月份,Lendf.Me 與 imBTC(一種與 BTC 掛鉤的以太坊代幣)集成。4 月 18 日,imBTC 在 Uniswap 去中心化交易所的流動池被攻擊,導致價值約 30 萬美元的代幣損失。
通過初步分析,安全研究人員認為 Uniswap 和 Lendf.me 手法類似,極有可能是同一夥人所為。
Uniswap 和 Lendf.me 的相似之處在於,這兩個平臺都在使用:Lendf.me 協議、imBTC 和 ERC-777。
雷鋒網瞭解到,imBTC 是 imToken 推出的以太坊區塊鏈上的 BTC 代幣,ERC777 是在 ERC20 基礎上推出的代幣標準,兼容 ERC20,並在 ERC20 的基礎上增加了一些新的特性。
imBTC 本身並沒有安全問題。但 ERC-777 代幣與 Lendf.Me 合約組合,就會產生重入攻擊漏洞。
正是如此,黑客才能利用漏洞,在 Lendf.Me 上重複鑄造出了 6700 多枚假的 imBTC,並以此為抵押,將 Lendf.Me 上的資產洗劫一空,並立即不斷通過 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平臺將盜取的幣兌換成 ETH 及其他代幣,還將其餘部分贓款轉入了借貸平臺 Compound 和 Aave。
截止目前,Lendf.Me 2500 萬美元被洗劫一空,雖然攻擊者今日歸還了部分,但依舊杯水車薪,同時其安全性也受到業內同行的質疑。
Compound 創始人 Leshner 在 Lendf.Me 被盜一事發生後,也立即發推特表示:
“如果一個項目無法足夠專業,無法構建自己的智能合約,而是直接複製,或者在他人智能合約的基礎上稍作修改,那麼他們實際上沒有考慮安全性問題的能力或者意願。希望開發者和用戶能從 lendf.Me 事件中吸取教訓。”
dForce 創始人楊民道也立即發聲明稱:目前團隊正在積極補救,包括:
1. 與頂尖安全團隊合作,對 Lendf.Me 進行更為全面的安全評估;
2. 與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊,但我們不會就此被打倒。
3. 與主流交易所、OTC 交易商、公安機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。
為此,安全研究人員也解釋了 DeFi 為何總是被黑客攻擊:DeFi 的最大特性在於其開放性:一是對用戶的開放性,二是合約間的開放性,所以 DeFi 只要有一個模塊出了問題,可能就會拖垮整個生態,因此極易成為黑客的攻擊目標。從今年年初的 bZx 攻擊事件再到 Uniswap 和 dForce 的攻擊事件,已經充分說明黑客已經掌握了 DeFi 系統性風控漏洞的要害,充分利用 DeFi 的可組合性對 DeFi 接二連三地實施攻擊。
所以安全研究人員建議 DeFi 開發者們在代碼層面不斷作出改進和更新,不要一位地追求 DeFi 產品的高組合性,同時也應該注重不同 DeFi產品在安全上的可匹配性。
附 dForce 聲明:
2020 年 4 月19日,dForce 生態裡的貨幣市場 Lendf.Me 遭遇黑客攻擊,導致市值約兩千五百萬美金的資產從合約裡被取出。
北京時間早 9:15 分左右,我們通過內部監控系統發現了黑客的異常轉賬行為。隨即我們暫停了 Lendf.Me 和 USDx 合約,並臨時關閉網站以對黑客活動進行調查。現在調查仍在進行中,我們已經掌握了部分有關黑客的信息,目前來看黑客已經停止攻擊。
此次黑客攻擊主要是利用 imBTC 資產 ERC777 標準的漏洞進行了重入攻擊。回調機制允許黑客反覆將偽造的 imBTC 作為抵押物借出款項。
截至發稿,黑客試圖聯繫我們,我們也表達了溝通的意願。
此次攻擊傷害到的不僅僅是我們的用戶、合作伙伴,同時也嚴重傷害了我、我的合夥人以及整個團隊的利益。我個人也在本次黑客攻擊中遭到了嚴重的經濟損失。
這次意外是我的失誤,我有勇氣面對接下來的挑戰。雖然不一定能完全規避該類惡性事件的發生,但我們本該採取更好的預防措施。我會盡全力改善目前的狀況,同時也真誠地向我們的用戶、投資人、合作伙伴道歉,對不起,我們讓大家失望了。
我們將於北京時間 2020 年 4 月 20 日 23:59 分前,向社區提供進一步的說明解釋。
自事發至今,我們一直努力在尋求妥善的解決方案,包括:
1. 與頂尖安全團隊合作,對 Lendf.Me 進行更為全面的安全評估;
2. 與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊,但我們不會就此被打倒。
3. 與主流交易所、OTC 交易商、公安機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。
雖然此次黑客攻擊對我們造成了嚴重的傷害,但我們不會就此一蹶不振。自事發起至今,我收到了無數的慰問、鼓勵和支持。我對 dForce 社區給予我們的關懷與幫助深表感激,我們也將繼續努力奮戰,不會放棄任何希望。
dForce創始人
楊民道
雷鋒網雷鋒網雷鋒網
參考資料:
[1]https://decrypt.co/26033/dforce-lendfme-defi-hack-25m
[2]https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/
[3]https://www.theblockcrypto.com/linked/62346/multicoin-capital-backed-defi-protocol-dforce-loses-25m-total-locked-value-in-an-exploit
[4]https://www.coindesk.com/attacker-drains-decentralized-protocol-dforce-of-25m-in-weekend-attack
[5]https://mp.weixin.qq.com/s/wRiWOZKRfpQfAwwJ2K9-sg
[6]https://github.com/OpenZeppelin/exploit-uniswap
