黑客越來越“猖狂”了。
據外媒報道,4月19日上午,國產DeFi借貸協議Lendf.Me被曝遭受黑客攻擊,據悉,黑客利用imBTC的ERC777合約漏洞來實現重入攻擊,Lendf.Me損失了大約2500萬美元。據安全公司透露,dForce團隊追回這筆損失的可能性微乎其微,目前dForce團隊正在定位被攻擊原因,并在網頁端建議所有用戶停止往Lendf.Me協議存入資產。而在今日上午,攻擊者目前共向DeFi借貸協議Lendf.Me歸還38萬枚HUSD、320枚HBTC和12.6萬枚PAX,并留下紙條:“下次好運”。
網友也笑稱其為“黑客提款機”。
什么是Lendf.Me?
可能很多童鞋對Lendf.Me是什么還很陌生,所以在這之前,雷鋒網先帶大家了解下Lendf.Me是什么。
簡單來說,Lendf.Me是dForce旗下的一個借貸協議。
據其官網介紹,dForce是一個基于區塊鏈的去中心化金融和貨幣協議平臺,同時也是第一個獲得世界領先商業銀行戰略投資的穩定幣和DeFi協議平臺,旨在為開放式金融應用程序提供底層基礎設施。團隊核心成員來自高盛、渣打、花旗、弘毅等頂尖金融機構的精英人員和數字貨幣行業的早期參與者。
Terra鏈上DeFi鎖倉量為163.1億美元:金色財經報道,據DefiLlama數據顯示,當前Terra鏈上DeFi鎖倉量為163.1億美元,在公鏈中仍排名第2位。目前,鎖倉量排名前5的公鏈分別為以太坊(1124.7億美元)、Terra(163.1億美元)、BSC(115.6億美元)、Fantom(119.4億美元)、Avalanche(83.4億美元)。[2022/1/26 9:13:15]
2019年9月,dForce首個由社區開發者主導開發的去中心化借貸協議Lendf.Me正式發布。據其官網介紹,Lendf.Me是基于全球資金池模式的去中心化貨幣市場,可以為用戶提供靈活、便捷的理財和貸款服務,其中包括:
USDx生息:活期理財,隨存隨取;USDx貸款:抵押ETH,獲得USDx貸款。針對存款方:
將USDx存入http://Lendf.Me獲取利息收入;閑置資金活期理財,更高收益、更低風險、更好的流動性。針對借貸方:
DeFi 概念板塊今日平均漲幅為8.68%:金色財經行情顯示,DeFi 概念板塊今日平均漲幅為8.68%。47個幣種中45個上漲,2個下跌,其中領漲幣種為:PEARL(+24.50%)、YFI(+24.18%)、SUSHI(+20.74%)。領跌幣種為:HDAO(-5.34%)。[2020/12/25 16:27:01]
避免賣幣套現錯失資產升值的用戶:不用變賣手上的數字資產,通過抵押的方式參與USDx借貸,通過支付少量的貸款利息,獲取更高的資產增值。需要更多資金投資優質資產的用戶:通過資產抵押的方式獲取流動現金,投資于優質標的,加快資產增長速度。值得注意的是,用戶通過Lendf.Me進行USDx存款不收取任何費用;申請USDx貸款只需要承擔0.05%的一次性手續費。
那么,黑客又是如何對其攻擊的呢?
Lendf.Me2500萬美元被洗劫一空
據外媒ZDnet報道,黑客似乎把不同區塊鏈技術的漏洞和合法功能聯系在一起,精心策劃了一場復雜的“重入攻擊”。而重入攻擊允許黑客在原始交易被批準或拒絕之前,在一個循環中反復提取資金。
盡管該攻擊的細節尚未透露,但值得注意的是,在1月份,Lendf.Me與imBTC集成。4月18日,imBTC在Uniswap去中心化交易所的流動池被攻擊,導致價值約30萬美元的代幣損失。
NESTFANS知魚:NHBTC能更早捕捉DeFi 2.0時代的價值和具備先發優勢:12月17日,在以《從NHBTC看價格預言機》為主題的AMA中,NESTFANS論壇核心發起人知魚表示,HBTC利用以太坊的可編程將BTC帶到以太坊網絡,繼而在NEST預言機上開通 HBTC/ETH報價對,將BTC的價格數據在鏈上生成,對整個行業來講具有突破性的意義。
知魚介紹,NHBTC是NEST Protocol中的HBTC/ETH 預言機軌道報價挖礦產生的Token,每年區塊獎勵衰減20%,挖20年僅產出5200多萬枚。持有NHBTC,每周可以獲取HBTC/ETH預言機軌道ETH收益池的收益分配;持有NHBTC越多,收益占比越多。
價值互通層面,NEST預言機支持所有ERC20代幣在上面開通自己的報價對與生成鏈上價格數據,為進入DeFi 2.0時代做好最基礎的準備。而HBTC/ETH預言機的市場應用規模以及預期,使得NHBTC具備輻射DeFi 2.0的先發優勢,能更早的捕獲DeFi 2.0時代的價值。
據悉,火幣全球站“全球觀察區”將于12月17日16:00開放NHBTC(nHBTC)交易,目前火幣已開放NHBTC充值。[2020/12/17 15:31:57]
通過初步分析,安全研究人員認為Uniswap和Lendf.me手法類似,極有可能是同一伙人所為。
星火愛心王夢瑤:DeFi開創了全新的金融玩法和規則:11月3日,在深圳市政府主辦,市貿促委、市地方金融監管局等機構承辦的第十四屆深圳國際金融博覽會上,深圳區塊鏈技術應用峰會在深圳會展中心正式舉辦。星火愛心會員服務部總監王夢瑤受邀參加主題為《金融行業的數字化轉型》的圓桌對話。王夢瑤表示,理解DeFi首先需要正確的認識金融。金融是為實體經濟增加杠桿,促進社會向前發展。未來,傳統金融業務都會數字化。相對傳統金融行業,DeFi對普通用戶是極度有好的,DeFi開創了一系列全新的金融玩法和規則,正在用區塊鏈技術中重構金融產業。[2020/11/3 11:32:54]
Uniswap和Lendf.me的相似之處在于,這兩個平臺都在使用:Lendf.me協議、imBTC和ERC-777。
雷鋒網了解到,imBTC是imToken推出的以太坊區塊鏈上的BTC代幣,ERC777是在ERC20基礎上推出的代幣標準,兼容ERC20,并在ERC20的基礎上增加了一些新的特性。
imBTC本身并沒有安全問題。但ERC-777代幣與Lendf.Me合約組合,就會產生重入攻擊漏洞。
正是如此,黑客才能利用漏洞,在Lendf.Me上重復鑄造出了6700多枚假的imBTC,并以此為抵押,將Lendf.Me上的資產洗劫一空,并立即不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣,還將其余部分贓款轉入了借貸平臺Compound和Aave。
HyperDAO中華區負責人王小圓:從資金角度看,Defi最大的問題就是缺乏流動性:8月21日,在以“DeFi-如何抓住大潮中的機遇?”為主題的金色沙龍中,HyperDAO中華區負責人王小圓在圓桌會議中表示,從資金的角度講,Defi最大的問題就是缺乏流動性,從DEX和中心化交易所可以看出來,DEX的用戶數量和中心化數量沒有辦法比,因為流量本身會吸引更多流量。去中心化金融在早期的時候和中心化服務相比有很多缺點,不僅僅用戶體驗差,還有很多小問題。現在的項目啟動流動性挖礦,因為需要在短期吸引到大家來參與。對于類似YAM這樣的項目來講,大家在參與的時候可以評估一下它的發展階段、市場周期。投資者在投資前,要對項目進行自己的調查和研究,形成自己的投資方法,理性投資。[2020/8/21]
截止目前,Lendf.Me2500萬美元被洗劫一空,雖然攻擊者今日歸還了部分,但依舊杯水車薪,同時其安全性也受到業內同行的質疑。
Compound創始人Leshner在Lendf.Me被盜一事發生后,也立即發推特表示:
“如果一個項目無法足夠專業,無法構建自己的智能合約,而是直接復制,或者在他人智能合約的基礎上稍作修改,那么他們實際上沒有考慮安全性問題的能力或者意愿。希望開發者和用戶能從lendf.Me事件中吸取教訓。”
dForce創始人楊民道也立即發聲明稱:目前團隊正在積極補救,包括:
1.與頂尖安全團隊合作,對Lendf.Me進行更為全面的安全評估;
2.與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊,但我們不會就此被打倒。
3.與主流交易所、OTC交易商、機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。
為此,安全研究人員也解釋了DeFi為何總是被黑客攻擊:DeFi的最大特性在于其開放性:一是對用戶的開放性,二是合約間的開放性,所以DeFi只要有一個模塊出了問題,可能就會拖垮整個生態,因此極易成為黑客的攻擊目標。從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件,已經充分說明黑客已經掌握了DeFi系統性風控漏洞的要害,充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。
所以安全研究人員建議DeFi開發者們在代碼層面不斷作出改進和更新,不要一位地追求DeFi產品的高組合性,同時也應該注重不同DeFi產品在安全上的可匹配性。
附dForce聲明:
2020年4月19日,dForce生態里的貨幣市場Lendf.Me遭遇黑客攻擊,導致市值約兩千五百萬美金的資產從合約里被取出。
北京時間早9:15分左右,我們通過內部監控系統發現了黑客的異常轉賬行為。隨即我們暫停了Lendf.Me和USDx合約,并臨時關閉網站以對黑客活動進行調查。現在調查仍在進行中,我們已經掌握了部分有關黑客的信息,目前來看黑客已經停止攻擊。
此次黑客攻擊主要是利用imBTC資產ERC777標準的漏洞進行了重入攻擊。回調機制允許黑客反復將偽造的imBTC作為抵押物借出款項。
截至發稿,黑客試圖聯系我們,我們也表達了溝通的意愿。
此次攻擊傷害到的不僅僅是我們的用戶、合作伙伴,同時也嚴重傷害了我、我的合伙人以及整個團隊的利益。我個人也在本次黑客攻擊中遭到了嚴重的經濟損失。
這次意外是我的失誤,我有勇氣面對接下來的挑戰。雖然不一定能完全規避該類惡性事件的發生,但我們本該采取更好的預防措施。我會盡全力改善目前的狀況,同時也真誠地向我們的用戶、投資人、合作伙伴道歉,對不起,我們讓大家失望了。
我們將于北京時間2020年4月20日23:59分前,向社區提供進一步的說明解釋。
自事發至今,我們一直努力在尋求妥善的解決方案,包括:
1.與頂尖安全團隊合作,對Lendf.Me進行更為全面的安全評估;
2.與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊,但我們不會就此被打倒。
3.與主流交易所、OTC交易商、機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。
雖然此次黑客攻擊對我們造成了嚴重的傷害,但我們不會就此一蹶不振。自事發起至今,我收到了無數的慰問、鼓勵和支持。我對dForce社區給予我們的關懷與幫助深表感激,我們也將繼續努力奮戰,不會放棄任何希望。
dForce創始人
楊民道
雷鋒網雷鋒網雷鋒網
參考資料:
https://decrypt.co/26033/dforce-lendfme-defi-hack-25m
https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/
https://www.theblockcrypto.com/linked/62346/multicoin-capital-backed-defi-protocol-dforce-loses-25m-total-locked-value-in-an-exploit
https://www.coindesk.com/attacker-drains-decentralized-protocol-dforce-of-25m-in-weekend-attack
https://mp.weixin.qq.com/s/wRiWOZKRfpQfAwwJ2K9-sg
https://github.com/OpenZeppelin/exploit-uniswap
Tags:BTCdForceUSDBTCs是不是黃了btc錢包官網btc短線交易騙局dForce幣是什么幣USD幣USD價格
八寶飯財經早訊2020年03月24日星期二八寶飯財經早訊,區塊鏈營養早餐八寶粥已經送達,OKEx將補償部分用戶,美國民主黨經濟刺激草案或創建數字美元;BTC整體于6450USDT附近調整.
1900/1/1 0:00:00BWC中文網百家號三天前提及,數字人民正橫空出世。而事情的最新進展是,中國央行數字貨幣研究所日前稱,數字人民幣當前階段先行在深圳、蘇州、雄安、成都,以及未來的冬奧場景進行內部封閉試點測試.
1900/1/1 0:00:00川崎Ninja1000SX將于2020年4月4日在日本正式上市,作為川崎Ninja1000的后繼車型,Ninja1000SX售價為14,85,000日元,折合人民幣僅9.8萬元左右.
1900/1/1 0:00:00哪怕我們現在用手機進行支付的場合會更多,但我們的官方通行貨幣依舊是以紙幣為主的。中國在宋代的時候就開始使用紙幣交子,是世界上使用紙幣最早的國家.
1900/1/1 0:00:0001愛情是不分國界的。 兩個身處完全不同世界的男女,從相遇相知到相愛,本身就是一件極其困難的事情。但在去年年末開始熱播的韓劇《愛的迫降》中,告訴了我們愛情到底有多奇妙.
1900/1/1 0:00:00圖片來源@視覺中國 疫情之下,投資市場波動很大,主流交易所動蕩不安,股市的多次熔斷,小額投資的股民們不得不將視線看向別處。數字貨幣的投資更是投資者最關注的市場之一.
1900/1/1 0:00:00