黑客越來越“猖狂”了。
據外媒報道,4月19日上午,國產DeFi借貸協議Lendf.Me被曝遭受黑客攻擊,據悉,黑客利用imBTC的ERC777合約漏洞來實現重入攻擊,Lendf.Me損失了大約2500萬美元。據安全公司透露,dForce團隊追回這筆損失的可能性微乎其微,目前dForce團隊正在定位被攻擊原因,并在網頁端建議所有用戶停止往Lendf.Me協議存入資產。而在今日上午,攻擊者目前共向DeFi借貸協議Lendf.Me歸還38萬枚HUSD、320枚HBTC和12.6萬枚PAX,并留下紙條:“下次好運”。
網友也笑稱其為“黑客提款機”。
什么是Lendf.Me?
可能很多童鞋對Lendf.Me是什么還很陌生,所以在這之前,雷鋒網先帶大家了解下Lendf.Me是什么。
簡單來說,Lendf.Me是dForce旗下的一個借貸協議。
AndreCronje發文解釋其ve(3,3)DeFi產品:1月6日消息,Yearn.finance創始人Andre Cronje發文介紹“ve(3,3)”,解釋基于“潛在未來”釋放的代幣如何平衡生態系統參與者。該產品機制與Curve相似,將產品Token鎖倉可獲得具有影響礦池利率權利的veToken,Token發行量每周遞減且由veToken數量決定,veToken數量越多,Token發行量越少。此外,veToken可作為NFT在二級市場交易,解決鎖倉資產的流動性問題。[2022/1/6 8:30:07]
據其官網介紹,dForce是一個基于區塊鏈的去中心化金融和貨幣協議平臺,同時也是第一個獲得世界領先商業銀行戰略投資的穩定幣和DeFi協議平臺,旨在為開放式金融應用程序提供底層基礎設施。團隊核心成員來自高盛、渣打、花旗、弘毅等頂尖金融機構的精英人員和數字貨幣行業的早期參與者。
波卡DeFi項目Acala完成6100萬美元募資:9月8日消息,波卡DeFi項目Acala宣布已經從全球超過2600名投資者那里籌集了6100萬美元。Acala在Polkadot上推出與以太坊兼容的DeFi智能合約平臺后,這些資金將從Acala基金會捐贈給鏈上Acala財政部。[2021/9/8 23:10:32]
2019年9月,dForce首個由社區開發者主導開發的去中心化借貸協議Lendf.Me正式發布。據其官網介紹,Lendf.Me是基于全球資金池模式的去中心化貨幣市場,可以為用戶提供靈活、便捷的理財和貸款服務,其中包括:
USDx生息:活期理財,隨存隨取;USDx貸款:抵押ETH,獲得USDx貸款。針對存款方:
將USDx存入http://Lendf.Me獲取利息收入;閑置資金活期理財,更高收益、更低風險、更好的流動性。針對借貸方:
現場 | 觀點:很多DeFi還是披著DeFi羊皮的fomo:金色財經現場報道,10月28日,第六屆區塊鏈全球峰會的數字金融主題論壇于上海開幕,在論壇的圓桌討論環節,
HashQuark首席執行官李晨分享表示,為什么Uniswap會火,因為很多DEX雖然用去中心化技術,但還是掛單模式,Uniswap使用了去中心化的模式和去中心化的技術實現的。此外,很多DeFi的超額抵押,
NEAR Protocol聯合創始人一龍分享表示,對于AMM來說,不能用戶和流量的思維去看。此外,目前加密貨幣在擴展性方面還遠遠不夠,所以要很多的資源帶動用戶參與進來。
Acala理事會成員姜富耀分享表示,很多DeFi還是披著DeFi羊皮的fomo,只是對于資產的再分配,對于收益非常大的產品,是不可能持續的,需要一些持續的產品出現。[2020/10/28]
避免賣幣套現錯失資產升值的用戶:不用變賣手上的數字資產,通過抵押的方式參與USDx借貸,通過支付少量的貸款利息,獲取更高的資產增值。需要更多資金投資優質資產的用戶:通過資產抵押的方式獲取流動現金,投資于優質標的,加快資產增長速度。值得注意的是,用戶通過Lendf.Me進行USDx存款不收取任何費用;申請USDx貸款只需要承擔0.05%的一次性手續費。
DeFi協議Flamingo暫停Mint Rush:金色財經報道,據官方Medium文章,基于Neo的互操作性全棧DeFi協議Flamingo表示,由于與Neoline錢包相關的技術問題,Flamingo團隊決定暫停目前的Mint Rush。已經在北京時間2020年9月25日22:11,區塊高度6212123進行了快照。Mint Rush將盡快重新啟動,Flamingo團隊正在與錢包服務提供商一起制定計劃。[2020/9/26]
那么,黑客又是如何對其攻擊的呢?
Lendf.Me2500萬美元被洗劫一空
據外媒ZDnet報道,黑客似乎把不同區塊鏈技術的漏洞和合法功能聯系在一起,精心策劃了一場復雜的“重入攻擊”。而重入攻擊允許黑客在原始交易被批準或拒絕之前,在一個循環中反復提取資金。
盡管該攻擊的細節尚未透露,但值得注意的是,在1月份,Lendf.Me與imBTC集成。4月18日,imBTC在Uniswap去中心化交易所的流動池被攻擊,導致價值約30萬美元的代幣損失。
10萬個BTC涌入以太坊網絡 DeFi高收益正在加速吸引BTC持有者:9月13日,隨著9月初加密市場的調整之后,DeFi協議將價值吸引回其流動性池中,目前已將近10萬個比特幣轉移至以太坊區塊鏈。根據Dune Analytics的數據,即使比特幣和以太坊的價格從9月1日開始下跌,轉移到以太坊區塊鏈上的BTC數量在本月到目前為止已經上漲了近45%,從9月1日大雨6.34萬個增加至9月13日的9.27萬個。Wrapped Bitcoin(WBTC)和其他跨鏈比特幣鎖定數量的增加將其鎖定總價值從月初的不到6億美元推升至超過9億美元。 現在總價值相當于整個ETH市值的2%以上。這種趨勢表明,盡管數字資產價格出現波動,但即使在BTC持有者中,對DeFi回報的需求仍然強勁。[2020/9/13]
通過初步分析,安全研究人員認為Uniswap和Lendf.me手法類似,極有可能是同一伙人所為。
Uniswap和Lendf.me的相似之處在于,這兩個平臺都在使用:Lendf.me協議、imBTC和ERC-777。
雷鋒網了解到,imBTC是imToken推出的以太坊區塊鏈上的BTC代幣,ERC777是在ERC20基礎上推出的代幣標準,兼容ERC20,并在ERC20的基礎上增加了一些新的特性。
imBTC本身并沒有安全問題。但ERC-777代幣與Lendf.Me合約組合,就會產生重入攻擊漏洞。
正是如此,黑客才能利用漏洞,在Lendf.Me上重復鑄造出了6700多枚假的imBTC,并以此為抵押,將Lendf.Me上的資產洗劫一空,并立即不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣,還將其余部分贓款轉入了借貸平臺Compound和Aave。
截止目前,Lendf.Me2500萬美元被洗劫一空,雖然攻擊者今日歸還了部分,但依舊杯水車薪,同時其安全性也受到業內同行的質疑。
Compound創始人Leshner在Lendf.Me被盜一事發生后,也立即發推特表示:
“如果一個項目無法足夠專業,無法構建自己的智能合約,而是直接復制,或者在他人智能合約的基礎上稍作修改,那么他們實際上沒有考慮安全性問題的能力或者意愿。希望開發者和用戶能從lendf.Me事件中吸取教訓。”
dForce創始人楊民道也立即發聲明稱:目前團隊正在積極補救,包括:
1.與頂尖安全團隊合作,對Lendf.Me進行更為全面的安全評估;
2.與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊,但我們不會就此被打倒。
3.與主流交易所、OTC交易商、機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。
為此,安全研究人員也解釋了DeFi為何總是被黑客攻擊:DeFi的最大特性在于其開放性:一是對用戶的開放性,二是合約間的開放性,所以DeFi只要有一個模塊出了問題,可能就會拖垮整個生態,因此極易成為黑客的攻擊目標。從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件,已經充分說明黑客已經掌握了DeFi系統性風控漏洞的要害,充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。
所以安全研究人員建議DeFi開發者們在代碼層面不斷作出改進和更新,不要一位地追求DeFi產品的高組合性,同時也應該注重不同DeFi產品在安全上的可匹配性。
附dForce聲明:
2020年4月19日,dForce生態里的貨幣市場Lendf.Me遭遇黑客攻擊,導致市值約兩千五百萬美金的資產從合約里被取出。
北京時間早9:15分左右,我們通過內部監控系統發現了黑客的異常轉賬行為。隨即我們暫停了Lendf.Me和USDx合約,并臨時關閉網站以對黑客活動進行調查。現在調查仍在進行中,我們已經掌握了部分有關黑客的信息,目前來看黑客已經停止攻擊。
此次黑客攻擊主要是利用imBTC資產ERC777標準的漏洞進行了重入攻擊。回調機制允許黑客反復將偽造的imBTC作為抵押物借出款項。
截至發稿,黑客試圖聯系我們,我們也表達了溝通的意愿。
此次攻擊傷害到的不僅僅是我們的用戶、合作伙伴,同時也嚴重傷害了我、我的合伙人以及整個團隊的利益。我個人也在本次黑客攻擊中遭到了嚴重的經濟損失。
這次意外是我的失誤,我有勇氣面對接下來的挑戰。雖然不一定能完全規避該類惡性事件的發生,但我們本該采取更好的預防措施。我會盡全力改善目前的狀況,同時也真誠地向我們的用戶、投資人、合作伙伴道歉,對不起,我們讓大家失望了。
我們將于北京時間2020年4月20日23:59分前,向社區提供進一步的說明解釋。
自事發至今,我們一直努力在尋求妥善的解決方案,包括:
1.與頂尖安全團隊合作,對Lendf.Me進行更為全面的安全評估;
2.與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊,但我們不會就此被打倒。
3.與主流交易所、OTC交易商、機構積極配合展開相關調查,竭盡全力追索被盜款項,追蹤黑客動態。
雖然此次黑客攻擊對我們造成了嚴重的傷害,但我們不會就此一蹶不振。自事發起至今,我收到了無數的慰問、鼓勵和支持。我對dForce社區給予我們的關懷與幫助深表感激,我們也將繼續努力奮戰,不會放棄任何希望。
dForce創始人
楊民道
Tags:BTCdForceUSDBTCs是不是黃了btc錢包官網btc短線交易騙局dForce幣是什么幣USD幣USD價格
物以稀為貴。一副鳥類的骨骼,也可以賣到數百萬元。2016年,一副已經滅絕了300多年的渡渡鳥骨骼在英國拍賣,成交價50萬英鎊,折合人民幣440萬元.
1900/1/1 0:00:00大家好,今天和大家分享的是《13萬什么車好?傳祺GS5和吉利ICON誰檔次高?看完懂了》。吉利ICON性價比如何?這種配置的車輛,這個價格買到手,性價比相當的高.
1900/1/1 0:00:00全球面額最大的紙幣:單張100億的面值滿街都是錢,不少人靠賣錢生活假如,有人現在給你說:"1000000億送你,不用還了。"是不是感覺還挺爽的.
1900/1/1 0:00:00目前,比特幣、萊特幣和以太坊一直都在添加和實現隱私功能。在用戶一直擔心這些加密貨幣的隱私發展最終會威脅到隱私幣生存的同時,另外的主要問題也隨之而生:加密貨幣的基礎設施將如何改變?隱私增強技術將對.
1900/1/1 0:00:002020年以來,受疫情影響,銀行大額存單利率出現整體下調的趨勢。而在流動性寬松背景下,余額寶的收益也是新低天天見,目前七日年化收益率已經降至1.5%,萬份收益跌至0.39元.
1900/1/1 0:00:00比特幣是什么 比特幣是一種全新的東西。比特幣和互聯網一樣,都有著全新的底層技術,運行原理和上層應用,歷史上從未有過類似的東西.
1900/1/1 0:00:00