DeFi 1日連遭2次攻擊,dForce疑被盜2500萬美元資產

買賣虛擬貨幣

作者:Apatheticco

北京時間8點45分,DeFi貸款協議Lendf.Me在區塊高度9899681遭受攻擊,目前技術團隊已經定位問題,並在網頁端建議所有使用者停止往借貸協議存入資產。

Lendf.Me是去中心化金融和貨幣協議平臺dForce去年9月上線的首個社羣專案。DeFi Pulse資料顯示,dForce鎖倉資產在幾個小時內跌落57%。目前平臺上多個資金的利用率高達99%,imBTC的資金利用率則為100%。鏈上資料顯示,攻擊者已將資產轉入Compound和 Aave平臺。

據慢霧科技反洗錢(AML)系統監測顯示,今日中午,Lendf.Me攻擊者 0xa9bf70a420d364e923c74448d9d817d3f2a77822 正持續不斷將攻擊獲利的 PAX 轉出兌換 ETH,使用的兌換平臺包括 1inch.exchange、ParaSwap 等,總額近 58.7 萬枚 PAX。

該團隊的分析還發現,此次攻擊與昨日攻擊Uniswap手法類似,極有可能是同一夥人所為。

4月18日下午,Tokenlon DEX今日在推特上稱,Uniswap上imBTC池今日遭到攻擊並已耗盡。Tokenlon隨即暫停imBTC轉移。據安全機構PeckShield分析,Uniswap在攻擊中損失了1,278個ETH,價值約22萬美元,此外還有大約18.37個 imBTC被0x3195c3和0x17559a開頭的兩個套利者以較低的價格獲取。

據分析,駭客利用Uniswap和ERC777的相容性問題,在進行 ETH-imBTC 交易時,利用ERC777中的多次迭代呼叫tokensToSend來實現重入攻擊。這次攻擊損失僅限於 Uniswap 上的ETH-imBTC 流動池,其他 DeFi 協議及 BTC 託管均未受影響。PeckShield 認為,自從年初的bZx攻擊事件開始,這又是一起駭客利用DeFi系統性風控漏洞實施的攻擊。

不過很快,Tokenlon 全面恢復 imBTC 合約轉賬及交易功能,但在此期間建議使用者先暫停使用Uniswap的 ETH-imBTC 流動池。

Lendf.Me被攻擊後,Tokenlon今日也宣佈,暫時下架Lendf.Me。

目前,DefiPulse資料顯示,dForce鎖倉總價值已歸零,造成的損失或達到約2500萬美元。DeFi社羣也在積極關注此事,但認為追回全部損失難度較大。鎖定駭客談判以儘量挽回損失,可能是目前唯一的辦法。

針對此次攻擊,有社羣成員提出質疑,imBTC作為資產發行方,在沒有確認其他DeFi合作伙伴是否都安全的情況下,就重新開通imBTC的合約轉賬功能,是否存在一定過失。

對此,imBTC的發行方imToken創始人何斌迴應稱,昨天 uniswap 池出問題後,我們第一時間暫停合約,聯絡合作伙伴自查。在下午5點多得到官方明確後,imBTC在6點重新恢復的。社羣也對此表示認同。

此次事件對於DeFi生態來說無疑是有一次巨大的衝擊,接連遭到攻擊也不僅讓人想到2018年到2019年的Dapp。Code is law是區塊鏈極客們的信仰,是去中心化最靚麗的標籤,但接連暴露出的安全問題,也的確急需行業去妥善解決。道路是困難的,但前景一定是光明,希望DeFi能在每一次傷痛中成長,最終成為真正成熟的開放金融。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;