黑客越來(lái)越“猖狂”了。

據(jù)外媒報(bào)道，4 月 19 日上午，國(guó)產(chǎn) DeFi 借貸協(xié)議 Lendf.Me 被曝遭受黑客攻擊，據(jù)悉，黑客利用 imBTC 的 ERC 777 合約漏洞來(lái)實(shí)現(xiàn)重入攻擊，Lendf.Me 損失了大約 2500 萬(wàn)美元。據(jù)安全公司透露，dForce 團(tuán)隊(duì)追回這筆損失的可能性微乎其微，目前dForce 團(tuán)隊(duì)正在定位被攻擊原因，并在網(wǎng)頁(yè)端建議所有用戶停止往 Lendf.Me 協(xié)議存入資產(chǎn)。而在今日上午，攻擊者目前共向 DeFi 借貸協(xié)議 Lendf.Me 歸還 38 萬(wàn)枚 HUSD、320 枚 HBTC 和 12.6 萬(wàn)枚 PAX ，并留下紙條：“下次好運(yùn)”。

網(wǎng)友也笑稱(chēng)其為“黑客提款機(jī)”。

什么是 Lendf.Me ？

可能很多童鞋對(duì) Lendf.Me 是什么還很陌生，所以在這之前，雷鋒網(wǎng)先帶大家了解下 Lendf.Me 是什么。

簡(jiǎn)單來(lái)說(shuō)，Lendf.Me 是 dForce 旗下的一個(gè)借貸協(xié)議。

據(jù)其官網(wǎng)介紹，dForce是一個(gè)基于區(qū)塊鏈的去中心化金融（DeFi）和貨幣協(xié)議平臺(tái)，同時(shí)也是第一個(gè)獲得世界領(lǐng)先商業(yè)銀行戰(zhàn)略投資的穩(wěn)定幣和 DeFi 協(xié)議平臺(tái)，旨在為開(kāi)放式金融應(yīng)用程序提供底層基礎(chǔ)設(shè)施。團(tuán)隊(duì)核心成員來(lái)自高盛、渣打、花旗、弘毅等頂尖金融機(jī)構(gòu)的精英人員和數(shù)字貨幣行業(yè)的早期參與者。

2019 年 9 月，dForce 首個(gè)由社區(qū)開(kāi)發(fā)者主導(dǎo)開(kāi)發(fā)的去中心化借貸協(xié)議 Lendf.Me 正式發(fā)布。據(jù)其官網(wǎng)介紹，Lendf.Me 是基于全球資金池模式的去中心化貨幣市場(chǎng)，可以為用戶提供靈活、便捷的理財(cái)和貸款服務(wù)，其中包括：

• USDx 生息：活期理財(cái)，隨存隨?。?/p>

• USDx 貸款：抵押 ETH，獲得 USDx 貸款。

針對(duì)存款方：

• 將USDx存入http://Lendf.Me獲取利息收入；

• 閑置資金活期理財(cái)，更高收益、更低風(fēng)險(xiǎn)、更好的流動(dòng)性。

針對(duì)借貸方：

• 避免賣(mài)幣套現(xiàn)錯(cuò)失資產(chǎn)升值的用戶：不用變賣(mài)手上的數(shù)字資產(chǎn)，通過(guò)抵押的方式參與 USDx 借貸，通過(guò)支付少量的貸款利息，獲取更高的資產(chǎn)增值。

• 需要更多資金投資優(yōu)質(zhì)資產(chǎn)的用戶：通過(guò)資產(chǎn)抵押的方式獲取流動(dòng)現(xiàn)金，投資于優(yōu)質(zhì)標(biāo)的，加快資產(chǎn)增長(zhǎng)速度。

值得注意的是，用戶通過(guò) Lendf.Me 進(jìn)行 USDx 存款不收取任何費(fèi)用；申請(qǐng) USDx 貸款只需要承擔(dān) 0.05% 的一次性手續(xù)費(fèi)。

那么，黑客又是如何對(duì)其攻擊的呢？

Lendf.Me 2500 萬(wàn)美元被洗劫一空

據(jù)外媒 ZDnet 報(bào)道，黑客似乎把不同區(qū)塊鏈技術(shù)的漏洞和合法功能聯(lián)系在一起，精心策劃了一場(chǎng)復(fù)雜的“重入攻擊”。而重入攻擊允許黑客在原始交易被批準(zhǔn)或拒絕之前，在一個(gè)循環(huán)中反復(fù)提取資金。

盡管該攻擊的細(xì)節(jié)尚未透露，但值得注意的是，在 1 月份，Lendf.Me 與 imBTC（一種與 BTC 掛鉤的以太坊代幣）集成。4 月 18 日，imBTC 在 Uniswap 去中心化交易所的流動(dòng)池被攻擊，導(dǎo)致價(jià)值約 30 萬(wàn)美元的代幣損失。

通過(guò)初步分析，安全研究人員認(rèn)為 Uniswap 和 Lendf.me 手法類(lèi)似，極有可能是同一伙人所為。

 Uniswap 和 Lendf.me 的相似之處在于，這兩個(gè)平臺(tái)都在使用：Lendf.me 協(xié)議、imBTC 和 ERC-777。

雷鋒網(wǎng)了解到，imBTC 是 imToken 推出的以太坊區(qū)塊鏈上的 BTC 代幣，ERC777 是在 ERC20 基礎(chǔ)上推出的代幣標(biāo)準(zhǔn)，兼容 ERC20，并在 ERC20 的基礎(chǔ)上增加了一些新的特性。

imBTC 本身并沒(méi)有安全問(wèn)題。但 ERC-777 代幣與 Lendf.Me 合約組合，就會(huì)產(chǎn)生重入攻擊漏洞。

正是如此，黑客才能利用漏洞，在 Lendf.Me 上重復(fù)鑄造出了 6700 多枚假的 imBTC，并以此為抵押，將 Lendf.Me 上的資產(chǎn)洗劫一空，并立即不斷通過(guò) 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平臺(tái)將盜取的幣兌換成 ETH 及其他代幣，還將其余部分贓款轉(zhuǎn)入了借貸平臺(tái) Compound 和 Aave。

截止目前，Lendf.Me 2500 萬(wàn)美元被洗劫一空，雖然攻擊者今日歸還了部分，但依舊杯水車(chē)薪，同時(shí)其安全性也受到業(yè)內(nèi)同行的質(zhì)疑。

Compound 創(chuàng)始人 Leshner 在 Lendf.Me 被盜一事發(fā)生后，也立即發(fā)推特表示：

“如果一個(gè)項(xiàng)目無(wú)法足夠?qū)I(yè)，無(wú)法構(gòu)建自己的智能合約，而是直接復(fù)制，或者在他人智能合約的基礎(chǔ)上稍作修改，那么他們實(shí)際上沒(méi)有考慮安全性問(wèn)題的能力或者意愿。希望開(kāi)發(fā)者和用戶能從 lendf.Me 事件中吸取教訓(xùn)?！?/p>

dForce 創(chuàng)始人楊民道也立即發(fā)聲明稱(chēng)：目前團(tuán)隊(duì)正在積極補(bǔ)救，包括：

1.  與頂尖安全團(tuán)隊(duì)合作，對(duì) Lendf.Me 進(jìn)行更為全面的安全評(píng)估；

2.  與合作伙伴積極探討可行的解決方案。雖然我們?cè)庥隽斯簦覀儾粫?huì)就此被打倒。

3.  與主流交易所、OTC 交易商、公安機(jī)構(gòu)積極配合展開(kāi)相關(guān)調(diào)查，竭盡全力追索被盜款項(xiàng)，追蹤黑客動(dòng)態(tài)。

為此，安全研究人員也解釋了 DeFi 為何總是被黑客攻擊：DeFi 的最大特性在于其開(kāi)放性：一是對(duì)用戶的開(kāi)放性，二是合約間的開(kāi)放性，所以 DeFi 只要有一個(gè)模塊出了問(wèn)題，可能就會(huì)拖垮整個(gè)生態(tài)，因此極易成為黑客的攻擊目標(biāo)。從今年年初的 bZx 攻擊事件再到 Uniswap 和 dForce 的攻擊事件，已經(jīng)充分說(shuō)明黑客已經(jīng)掌握了 DeFi 系統(tǒng)性風(fēng)控漏洞的要害，充分利用 DeFi 的可組合性對(duì) DeFi 接二連三地實(shí)施攻擊。

所以安全研究人員建議 DeFi 開(kāi)發(fā)者們?cè)诖a層面不斷作出改進(jìn)和更新，不要一位地追求 DeFi 產(chǎn)品的高組合性，同時(shí)也應(yīng)該注重不同 DeFi產(chǎn)品在安全上的可匹配性。

附 dForce 聲明：

2020 年 4 月19日，dForce 生態(tài)里的貨幣市場(chǎng) Lendf.Me 遭遇黑客攻擊，導(dǎo)致市值約兩千五百萬(wàn)美金的資產(chǎn)從合約里被取出。

北京時(shí)間早 9:15 分左右，我們通過(guò)內(nèi)部監(jiān)控系統(tǒng)發(fā)現(xiàn)了黑客的異常轉(zhuǎn)賬行為。隨即我們暫停了 Lendf.Me 和 USDx 合約，并臨時(shí)關(guān)閉網(wǎng)站以對(duì)黑客活動(dòng)進(jìn)行調(diào)查?，F(xiàn)在調(diào)查仍在進(jìn)行中，我們已經(jīng)掌握了部分有關(guān)黑客的信息，目前來(lái)看黑客已經(jīng)停止攻擊。

此次黑客攻擊主要是利用 imBTC 資產(chǎn) ERC777 標(biāo)準(zhǔn)的漏洞進(jìn)行了重入攻擊?；卣{(diào)機(jī)制允許黑客反復(fù)將偽造的 imBTC 作為抵押物借出款項(xiàng)。

截至發(fā)稿，黑客試圖聯(lián)系我們，我們也表達(dá)了溝通的意愿。

此次攻擊傷害到的不僅僅是我們的用戶、合作伙伴，同時(shí)也嚴(yán)重傷害了我、我的合伙人以及整個(gè)團(tuán)隊(duì)的利益。我個(gè)人也在本次黑客攻擊中遭到了嚴(yán)重的經(jīng)濟(jì)損失。

這次意外是我的失誤，我有勇氣面對(duì)接下來(lái)的挑戰(zhàn)。雖然不一定能完全規(guī)避該類(lèi)惡性事件的發(fā)生，但我們本該采取更好的預(yù)防措施。我會(huì)盡全力改善目前的狀況，同時(shí)也真誠(chéng)地向我們的用戶、投資人、合作伙伴道歉，對(duì)不起，我們讓大家失望了。

我們將于北京時(shí)間 2020 年 4 月 20 日 23:59 分前，向社區(qū)提供進(jìn)一步的說(shuō)明解釋。

自事發(fā)至今，我們一直努力在尋求妥善的解決方案，包括：

1.  與頂尖安全團(tuán)隊(duì)合作，對(duì) Lendf.Me 進(jìn)行更為全面的安全評(píng)估；

2.  與合作伙伴積極探討可行的解決方案。雖然我們?cè)庥隽斯?，但我們不?huì)就此被打倒。

3.  與主流交易所、OTC 交易商、公安機(jī)構(gòu)積極配合展開(kāi)相關(guān)調(diào)查，竭盡全力追索被盜款項(xiàng)，追蹤黑客動(dòng)態(tài)。

雖然此次黑客攻擊對(duì)我們?cè)斐闪藝?yán)重的傷害，但我們不會(huì)就此一蹶不振。自事發(fā)起至今，我收到了無(wú)數(shù)的慰問(wèn)、鼓勵(lì)和支持。我對(duì) dForce 社區(qū)給予我們的關(guān)懷與幫助深表感激，我們也將繼續(xù)努力奮戰(zhàn)，不會(huì)放棄任何希望。

dForce創(chuàng)始人

楊民道

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

[1]https://decrypt.co/26033/dforce-lendfme-defi-hack-25m

[2]https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/

[3]https://www.theblockcrypto.com/linked/62346/multicoin-capital-backed-defi-protocol-dforce-loses-25m-total-locked-value-in-an-exploit

[4]https://www.coindesk.com/attacker-drains-decentralized-protocol-dforce-of-25m-in-weekend-attack

[5]https://mp.weixin.qq.com/s/wRiWOZKRfpQfAwwJ2K9-sg

[6]https://github.com/OpenZeppelin/exploit-uniswap

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。