2020年,註定是經歷和見證各種歷史的一年。就在剛經歷了史無前例的“負油價”之後,4月21日,我們又見證了一筆價值1.75億人民幣的“黑客退款”。
事情的經過大致是這樣的,北京時間4月19日上午8點45分起,亞洲地區最大的DeFi平臺dForce旗下的貸款協議Lendf.Me在區塊高度9899681遭到黑客攻擊,導致價值約2500萬美元的數字資產被洗劫一空。
從攻擊的作案手法上來看,黑客主要是利用了imBTC的ERC777標準內的漏洞來進行了“重入攻擊”。ERC777(imBTC)的回調機制使得黑客能夠在餘額更新之前,重複提供和撤回imBTC。
據慢霧科技隨後的統計顯示,此次攻擊中, Lendf.Me 累計的損失約 24,696,616 美元,具體盜取的幣種及數額為:WETH: 55159.02134;WBTC: 9.01152;CHAI: 77930.93433;HBTC: 320.27714; HUSD: 432162.90569; BUSD: 480787.88767; PAX: 587014.60367;TUSD: 459794.38763; USDC: 698916.40348; USDT: 7180525.081569999; USDx: 510868.16067; imBTC: 291.3471。
之後,黑客不斷通過1inch.exchange、ParaSwap、Tokenlon 等 DEX 平臺將盜取的幣兌換成 ETH 及其他代幣。
4月19日晚間,dForce創始人楊民道發表聲明,稱團隊正在開展如下行動:1、與頂級安全公司聯繫,對Lendf.Me進行更全面的安全評估;2、與合作伙伴一起制定一項解決方案,對該系統進行資本重組,雖然我們被這次襲擊擊倒了,但我們不會停止腳步;3、正與主要的交易所,OTC 平臺以及相關執法部門合作,調查情況,阻止被盜資金的轉移,並追蹤黑客。
令人大跌眼鏡的是,4月20日凌晨3點左右,根據鏈上信息顯示, Lendf.Me 的攻擊者,先後向借貸平臺 Lendf.Me 的 admin 賬戶轉回了38萬餘枚 HUSD 和 320 餘枚 HBTC,以及12.6 萬 PAX,總價值超過200萬美元,也就是說,黑客居然一次性退回了贓款的近十分之一。
隨後,dForce官方在推特上發佈了一堆“符號碼”,疑似通過“密碼”向黑客喊話或者進行“談判”。
令人意想不到的是,北京時間4月21日13點40分左右起,盜取Lendf.ME的黑客竟然陸續向Lendf.ME歸還了幾乎所有盜竊的代幣,包括57,992枚ETH,425.61枚MKR,13.7萬枚DAI,50萬枚USDT,252.34枚imBTC等等。
至此,3天之間,我們見證了史上最大的一筆,總價值接近1.75億元人民幣的鉅額黑客還款。
縱觀整起黑客事件,整個過程依然充滿了魔幻色彩。從操作手法上來看,此次事件的攻擊者並不像一名專業的“黑客”。
根據去中心化交易所服務商1inch的發言人解釋稱,此次事件的黑客使用了基於Web的內容分發網絡,洩露了關於其本人的重要元數據頭部信息。具體而言,這名黑客在去中心化交易所的所有交易請求都來自一箇中國的IP地址,這名黑客並沒有使用Tor之類的去中心化網絡。此外,洩露的信息甚至還包括黑客使用的電腦類型、屏幕分辨率和系統語言等等。
對此1inch這樣評價到:“他似乎是一名優秀的程序員,但卻是一名幾乎沒有什麼經驗的黑客。”一筆1.75億人民幣的超級鉅款,居然在被盜之後3天內,如數歸還,此舉可謂在“黑客史”上史無前例。
有業內人士指出,正常情況下,黑客在盜取了這些鉅額資產後,應當進行一段時間的徹底“沉默”,待事件逐漸“平息”後,通過“混幣”、“粉塵化”等手法進行“洗幣”,然後再逐步套現。
之所以選擇第一時間還幣,最有可能的是黑客本人的真實身份已經被dForce所掌握,通過dForce的溝通和談判,從而追回了全部損失。
而這位黑客在開展攻擊前,很可能並沒有做好全部準備,而是一種“臨時起意”式的攻擊。原本只是想“試一試”,豈料“一不小心”就“試成了”,拿到1.75億的鉅額數字資產後,心裡說不定也“慌得一匹”,一不小心就漏出了破綻。
也有人認為,此次事件中的黑客可能是具有真正“黑客精神”的計算機極客,人家就是想通過這種“大事件”,指出行業漏洞,引領行業發展。
此次事件發生後,面對可能的“滅頂之災”,dForce平臺能夠積極應對、全力追回資產,而不是發佈類似“我們只是第三方”之類的搪塞態度,固然體現了平臺本身的責任感和業內的影響力。然而,技術上出現的重大漏洞,也為整個行業敲響了警鐘。
在DeFi領域,安全永遠是排在第一位了。下一次,我們不會再如此幸運地遇到這麼“有個性”的黑客。
