摘要:dForce团队正在与合作伙伴一起制定解决方案。原文最早发表于4月19日,Odaily Planet已经在文末更新了事件的最新进展。
“DeFi平台不作恶,所以黑客太多了。”
继4月18日Uniswap被黑,损失1,278 ETH(价值约22万美元)后,4月19日上午8: 45,国内DeFi贷款协议Lendf。我暴露在黑客攻击下。据慢雾科技AML系统统计,Lendf累计亏损。我这次大概是2470万美元,具体被盗币种和金额如下:
之后攻击者不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的硬币兑换成ETH等代币。
据安全公司称,dForce团队追回这一损失的可能性很小。目前,dForce团队正在查找攻击原因,并建议所有用户停止向Lendf存放资产。我在网页上的协议。
图片来自:Lendf。Me官网
根据Defipulse的数据,在过去的24小时内,dForce的锁仓资产的美元价值下跌了100%,至1万美元,而之前的锁仓总价值超过了2490万美元。
图片来自:Defipulse
根据慢雾科技反洗钱(AML)系统的监控,Lendf的攻击者。Me正在不断将攻击中获利的PAX转移到ETH,总计近58.7万PAX,使用的交换平台包括1inch.exchange和ParaSwap攻击者的地址是0x a9 BF 70a 420d 364 e 923 c 7448d 9d 817 d3f 2 a 77822。
根据慢雾安全团队的分析,黑客对Lendf的攻击。我这次和昨天对uni WAP的攻击类似(Odaily Planet Daily注:黑客利用uni WAP和ERC777的兼容性问题,在进行ETH-imBTC事务时,利用ERC777中的多次迭代调用tokensToSend实现重入攻击)。由于DeFi契约缺乏重入攻击保护,攻击者在ERC777中多次迭代调用tokensToSend方法函数实现重入攻击,极有可能是同一批人所为。
慢雾安全小组分析了伦德夫号的全过程。我详细攻击:
攻击者先存入0.00021593 imBTC,但成功从Lendf提取0.00043188 imBTC。我,而且提取的金额几乎是存款的两倍。
那么,攻击者是如何从一次短期交易中获得双倍余额的呢?
通过分析交易过程,慢雾安全团队发现攻击者对Lendf的supply函数进行了两次调用。我,但是这两个调用是独立的,之前的补给函数没有再调用补给函数。
然后,在第二次调用supply函数时,攻击者调用了Lendf的withdraw函数。我在他自己的合同里,最后撤回了现金。
图片来自:慢雾安全团队
这里,攻击者的撤销调用发生在transferFrom函数中,也就是Lendf时。Me通过transferFrom调用用户的tokensToSend钩子函数。很明显,袭击者重新进入了伦登峰。Me通过供给函数收缩,导致重入攻击。
对伦登峰的袭击。Me协议也让人质疑dForce的代码审计员。公开信息显示,Lendf.me协议将Compound v1的代码分成两部分,由公司trail of bits进行审计。
Compound的创始人Leshner在Lendf被盗后立即发推特。我:“如果一个项目不能专业到构建自己的智能合约,而是直接复制,或者在别人智能合约的基础上稍加修改,那么他们实际上没有能力或意愿去考虑安全问题。我希望开发者和用户可以从Lendf中学习。我事件。”
图片来自:推特
我们在此建议DeFi开发商自主研发产品,建立自己的风险控制机制,提高风险控制能力。
现在许多用户担心他们在Lendf上的资产。我的平台不会被拿出来。据Odaily planet报道,dForce团队正在全力处理此次袭击事件,目前还没有给出具体的赔偿方案。
连续两次DeFi攻击
给我们带来了哪些思考?
从今年年初的bZx攻击到Uniswap、dForce的攻击,说明黑客已经掌握了DeFi系统风控漏洞的关键,并充分利用了DeFi的可组合性,对DeFi进行了一次又一次的攻击。
DDEX运营负责人王泊文曾在今日星球举办的“活力”云峰会上反思bZx事件的影响。“乐高的概念是因为所有的积木都是乐高生产的,而且质量非常好。但是DeFi的很多部分质量参差不齐。bZx上发生的事情说明,在对基础不是很了解的情况下,建得越高越危险。”
木桶理论用来解释DeFi乐高最大的问题。DeFi系统的安全取决于最短的板子,所以只要DeFi音乐高中的一个模块出问题,就可能拖累整个生态。这就需要DeFi开发者在代码层面不断改进和更新,不能一味追求DeFi产品的高组合,还要注意不同DeFi产品的安全兼容性。
此外,德菲保险的发展也可以在一定程度上缓解黑客攻击给德菲平台带来的损失。DeFi保险协议Nexus Mutual为业界做了一个成功的示范,补偿在bZx攻击中遭受损失的用户。然而,DeFi保险产品仍处于非常早期的发展阶段,产品模式和运营模式尚未成熟,也缺乏统一的风险定价体系和赔偿保障机制。大部分保险平台更像是具有一定保障性质的衍生工具来对冲货币价格波动的风险,或者只对B平台服务。
总的来说,DeFi还处于发展初期,很多机制还有待完善。作为一直深耕DeFi生态的优质从业者,dForce也希望dForce团队能够挺过这次危机,做好灾后重建,重建DeFi开发者对中国的信心。
最新进展
4月20日凌晨,dForce创始人杨民鱼道梅迪奇发文称,黑客利用imBTC的ERC 777合约漏洞实现再入攻击,Lendf。我损失了2500万美元。目前,该小组正在开展以下行动:
我们已经联系了顶级安全公司,对Lendf进行更全面的安全评估。我;
与合作伙伴一起制定解决方案,对系统进行资本重组。虽然我们遭受了这次袭击,但我们不会停止。
我们正在与主流交易所、场外交易平台和相关执法部门合作,调查情况,防止被盗资金转移,追查黑客。
此外,该团队将于北京时间4月20日晚11点59分在官方博客上提供更详细的更新。
根据链上的信息,攻击者将380 000 HUSD和320 HBTC转回到Lendf的管理账户。我在4月20日凌晨3点左右。此前,慢雾团队已经监测到,攻击者还折返了126,000 PAX,字幕为“更好的未来”。
参考文章:《慢雾:DeFi平台Lendf.Me被黑细节分析及防御建议》