買以太坊 買以太坊
Ctrl+D 買以太坊
ads

USD:DeFi 出現嚴重信任危機:繼 Uniswap 后,Lendf Me 2500 萬美元被盜,網友笑稱其為“黑客提款機”!_USD價格

Author:

Time:1900/1/1 0:00:00

黑客越來越“猖狂”了。

據外媒報道,4月19日上午,國產DeFi借貸協議Lendf.Me被曝遭受黑客攻擊,據悉,黑客利用imBTC的ERC777合約漏洞來實現重入攻擊,Lendf.Me損失了大約2500萬美元。據安全公司透露,dForce團隊追回這筆損失的可能性微乎其微,目前dForce團隊正在定位被攻擊原因,并在網頁端建議所有用戶停止往Lendf.Me協議存入資產。而在今日上午,攻擊者目前共向DeFi借貸協議Lendf.Me歸還38萬枚HUSD、320枚HBTC和12.6萬枚PAX,并留下紙條:“下次好運”。

網友也笑稱其為“黑客提款機”。

什么是Lendf.Me?

可能很多童鞋對Lendf.Me是什么還很陌生,所以在這之前,雷鋒網先帶大家了解下Lendf.Me是什么。

簡單來說,Lendf.Me是dForce旗下的一個借貸協議。

據其官網介紹,dForce是一個基于區塊鏈的去中心化金融和貨幣協議平臺,同時也是第一個獲得世界領先商業銀行戰略投資的穩定幣和DeFi協議平臺,旨在為開放式金融應用程序提供底層基礎設施。團隊核心成員來自高盛、渣打、花旗、弘毅等頂尖金融機構的精英人員和數字貨幣行業的早期參與者。

DeFi基礎設施2Pi Network疑似遭價格操縱攻擊,損失約5萬美元:1月19日消息,據智能合約安全研究員oracle_0x轉發的推文,2PiNetwork的Optimism金庫疑似遭遇閃電貸攻擊并損失約5萬美元。oracle_0x評論稱,看起來這是一個價格操縱漏洞,_withdraw金額(USDC)取決于balance()中的流動性池的瞬時價格,攻擊者在提現之前兌換了USDC以提高其他資產的價格。[2023/1/19 11:20:56]

2019年9月,dForce首個由社區開發者主導開發的去中心化借貸協議Lendf.Me正式發布。據其官網介紹,Lendf.Me是基于全球資金池模式的去中心化貨幣市場,可以為用戶提供靈活、便捷的理財和貸款服務,其中包括:

USDx生息:活期理財,隨存隨取;USDx貸款:抵押ETH,獲得USDx貸款。針對存款方:

報告:以太坊合并可能對DeFi協議、穩定幣產生負面影響:金色財經報道,根據DappRadar發布的一份報告,以太坊即將到來的合并可能會大大影響DeFi協議在鏈上的運作方式。報告指出,合并可能會減慢交易時間,或者造成DeFi借貸協議服務中斷,給平臺帶來麻煩。這可能會使穩定幣價值暴跌,并使DeFi借貸池縮小。DappRadar的數據分析師Pedro Herrera表示,合并對以太坊市場供應的負面影響可能會影響DeFi流動性池,即使以太坊權益證明機制的過渡順利進行。(CoinDesk)[2022/8/27 12:51:55]

將USDx存入http://Lendf.Me獲取利息收入;閑置資金活期理財,更高收益、更低風險、更好的流動性。針對借貸方:

避免賣幣套現錯失資產升值的用戶:不用變賣手上的數字資產,通過抵押的方式參與USDx借貸,通過支付少量的貸款利息,獲取更高的資產增值。需要更多資金投資優質資產的用戶:通過資產抵押的方式獲取流動現金,投資于優質標的,加快資產增長速度。值得注意的是,用戶通過Lendf.Me進行USDx存款不收取任何費用;申請USDx貸款只需要承擔0.05%的一次性手續費。

那么,黑客又是如何對其攻擊的呢?

Immunefi:今年第一季度DeFi黑客攻擊總額超12億美元:金色財經報道,根據DeFi漏洞賞金平臺Immunefi的數據,與去年第一季度相比,針對去中心化金融協議的黑客攻擊增加了近八倍。僅在今年第一季度,就有超過12.2億美元被確定為被盜或因新興協議而被盜用。Immunefi季度加密貨幣損失報告的研究顯示,與2021年同期約1.546億美元的被盜資金相比,這增加了7.9倍。根據咨詢公司Cyber??securityVentures的數據,到2022年,整個網絡犯罪將給全世界造成約6.9萬億美元的損失。因此,即使DeFi在年底前凈利用35億美元,也將占全球網絡犯罪總量的0.05%。(blockworks)[2022/7/14 2:13:37]

Lendf.Me2500萬美元被洗劫一空

據外媒ZDnet報道,黑客似乎把不同區塊鏈技術的漏洞和合法功能聯系在一起,精心策劃了一場復雜的“重入攻擊”。而重入攻擊允許黑客在原始交易被批準或拒絕之前,在一個循環中反復提取資金。

盡管該攻擊的細節尚未透露,但值得注意的是,在1月份,Lendf.Me與imBTC集成。4月18日,imBTC在Uniswap去中心化交易所的流動池被攻擊,導致價值約30萬美元的代幣損失。

賓夕法尼亞大學教授:穩定幣對DeFi至關重要,對于監管執法也非常有用:8月11日消息,賓夕法尼亞大學教授Kevin Werbach在推特上表示,穩定幣對DeFi至關重要,中心化的穩定幣市場占有率大于95%,它們可以阻止非法交易,比如Tether凍結Poly Network黑客的USDT。穩定幣還將對監管機構、金融犯罪執法和制裁非常有用。他提問,如果社區不得不接受對所有穩定幣的銀行級監督(完整的AML/KYC、交易封鎖和合法程序披露、資本和準備金要求),以換取對其他DeFi協議的不直接監管,你會接受這筆交易嗎?[2021/8/11 1:48:31]

通過初步分析,安全研究人員認為Uniswap和Lendf.me手法類似,極有可能是同一伙人所為。

Uniswap和Lendf.me的相似之處在于,這兩個平臺都在使用:Lendf.me協議、imBTC和ERC-777。

雷鋒網了解到,imBTC是imToken推出的以太坊區塊鏈上的BTC代幣,ERC777是在ERC20基礎上推出的代幣標準,兼容ERC20,并在ERC20的基礎上增加了一些新的特性。

imBTC本身并沒有安全問題。但ERC-777代幣與Lendf.Me合約組合,就會產生重入攻擊漏洞。

DeFi 概念板塊今日平均跌幅為7.47%:金色財經行情顯示,DeFi 概念板塊今日平均跌幅為7.47%。47個幣種中6個上漲,41個下跌,其中領漲幣種為:YFI(+15.81%)、UMA(+9.61%)、AMPL(+0.83%)。領跌幣種為:HOT(-17.76%)、BZRX(-14.99%)、HDAO(-14.96%)。[2021/4/19 20:34:23]

正是如此,黑客才能利用漏洞,在Lendf.Me上重復鑄造出了6700多枚假的imBTC,并以此為抵押,將Lendf.Me上的資產洗劫一空,并立即不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣,還將其余部分贓款轉入了借貸平臺Compound和Aave。

截止目前,Lendf.Me2500萬美元被洗劫一空,雖然攻擊者今日歸還了部分,但依舊杯水車薪,同時其安全性也受到業內同行的質疑。

Compound創始人Leshner在Lendf.Me被盜一事發生后,也立即發推特表示:

“如果一個項目無法足夠專業,無法構建自己的智能合約,而是直接復制,或者在他人智能合約的基礎上稍作修改,那么他們實際上沒有考慮安全性問題的能力或者意愿。希望開發者和用戶能從lendf.Me事件中吸取教訓。”

dForce創始人楊民道也立即發聲明稱:目前團隊正在積極補救,包括:

1.與頂尖安全團隊合作,對Lendf.Me進行更為全面的安全評估;

2.與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊,但我們不會就此被打倒。

3.與主流交易所、OTC交易商、機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。

為此,安全研究人員也解釋了DeFi為何總是被黑客攻擊:DeFi的最大特性在于其開放性:一是對用戶的開放性,二是合約間的開放性,所以DeFi只要有一個模塊出了問題,可能就會拖垮整個生態,因此極易成為黑客的攻擊目標。從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件,已經充分說明黑客已經掌握了DeFi系統性風控漏洞的要害,充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。

所以安全研究人員建議DeFi開發者們在代碼層面不斷作出改進和更新,不要一位地追求DeFi產品的高組合性,同時也應該注重不同DeFi產品在安全上的可匹配性。

附dForce聲明:

2020年4月19日,dForce生態里的貨幣市場Lendf.Me遭遇黑客攻擊,導致市值約兩千五百萬美金的資產從合約里被取出。

北京時間早9:15分左右,我們通過內部監控系統發現了黑客的異常轉賬行為。隨即我們暫停了Lendf.Me和USDx合約,并臨時關閉網站以對黑客活動進行調查。現在調查仍在進行中,我們已經掌握了部分有關黑客的信息,目前來看黑客已經停止攻擊。

此次黑客攻擊主要是利用imBTC資產ERC777標準的漏洞進行了重入攻擊。回調機制允許黑客反復將偽造的imBTC作為抵押物借出款項。

截至發稿,黑客試圖聯系我們,我們也表達了溝通的意愿。

此次攻擊傷害到的不僅僅是我們的用戶、合作伙伴,同時也嚴重傷害了我、我的合伙人以及整個團隊的利益。我個人也在本次黑客攻擊中遭到了嚴重的經濟損失。

這次意外是我的失誤,我有勇氣面對接下來的挑戰。雖然不一定能完全規避該類惡性事件的發生,但我們本該采取更好的預防措施。我會盡全力改善目前的狀況,同時也真誠地向我們的用戶、投資人、合作伙伴道歉,對不起,我們讓大家失望了。

我們將于北京時間2020年4月20日23:59分前,向社區提供進一步的說明解釋。

自事發至今,我們一直努力在尋求妥善的解決方案,包括:

1.與頂尖安全團隊合作,對Lendf.Me進行更為全面的安全評估;

2.與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊,但我們不會就此被打倒。

3.與主流交易所、OTC交易商、機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。

雖然此次黑客攻擊對我們造成了嚴重的傷害,但我們不會就此一蹶不振。自事發起至今,我收到了無數的慰問、鼓勵和支持。我對dForce社區給予我們的關懷與幫助深表感激,我們也將繼續努力奮戰,不會放棄任何希望。

dForce創始人

楊民道

雷鋒網雷鋒網雷鋒網

參考資料:

https://decrypt.co/26033/dforce-lendfme-defi-hack-25m

https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/

https://www.theblockcrypto.com/linked/62346/multicoin-capital-backed-defi-protocol-dforce-loses-25m-total-locked-value-in-an-exploit

https://www.coindesk.com/attacker-drains-decentralized-protocol-dforce-of-25m-in-weekend-attack

https://mp.weixin.qq.com/s/wRiWOZKRfpQfAwwJ2K9-sg

https://github.com/OpenZeppelin/exploit-uniswap

Tags:BTCdForceUSDBTCs是不是黃了btc錢包官網btc短線交易騙局dForce幣是什么幣USD幣USD價格

Gate交易所
區塊鏈:2019誰家區塊鏈應用落地比較強?螞蟻、迅雷和騰訊_COS

文|互鏈脈搏·黑珍珠號 2020年關,提及區塊鏈,國內輿論一片向好。“1024”新政、央行數字貨幣、逐月累加的落地應用數量……這些都讓鏈圈人士對區塊鏈技術的普及充滿信心.

1900/1/1 0:00:00
APP:最新進展!央行數字貨幣可在ATM機、支付寶、微信等終端使用_ATM價格

支付曝光臺訊:4月3日,人民銀行2020年全國貨幣金銀和安全保衛工作電視電話會議在北京召開。會議要求,加強頂層設計,堅定不移推進法定數字貨幣研發工作,系統推進現金發行和回籠體系改革,加快推進鈔票.

1900/1/1 0:00:00
EMB:學不止步,一圖了解清華五道口金融EMBA在線申請_EMBEMB幣

受疫情影響,根據學校對春季學期教學安排調整的通知,清華五道口金融EMBA教育中心近期調整金融EMBA2021級的招生報名工作:1.首輪報名截止日期由2月28日延長至3月15日.

1900/1/1 0:00:00
比特幣:美國啟動百年難遇無限量化,比特幣走勢有了參照_比特幣

如果你擔心壞事發生,那么它就更可能發生——墨菲定律。 1、 最近我有點糾結,合約到底應該技術分析為主,還是消息面為主?雖然理論上來說,兩者結合是最好的,但談結合是講大道理,搞得怎么結合才是硬道理.

1900/1/1 0:00:00
比特幣:「安全通告」新型勒索病WannaRen來襲,贖金0.05比特幣_REN

安全通告 近日,網絡上出現一款新型勒索病WannaRen,該勒索病加密Windows系統中幾乎所有類型文件,加密后的文件擴展名修改為.WannaRen.

1900/1/1 0:00:00
BAS:硬核防疫操作之微波爐加熱消人民幣_TRUMPARMY

紙幣是否會攜帶病?將其放入微波爐加熱能否起到消作用? 圖片來源于網絡答案是否定的,不僅不能消,還可能造成人民幣毀損、滅失,存在巨大的安全隱患.

1900/1/1 0:00:00
ads