2020年以來,DeFi 就一直備受關注,甚至被認為是區塊鏈的新風口,其鎖倉資金也突破了25.3億美金,達到了歷史新高。
不過,這塊肥肉也被駭客盯上了。
這不,就在半個月前,DeFi 平臺Uniswap 又遭到了攻擊,駭客僅用0.9個ETH就盜走了91萬枚VETH,價值超過了90萬美金。
而類似的駭客事件之前也發生了多起。
今年4月19日上午,DeFi 另一個平臺 Lendf.me 也遭到了駭客的攻擊,損失了大約2500萬美金的資產。
在不到24小時的時間裡,Lendf.me的鎖倉資產直接從2499萬美元暴跌至1萬美元。
這意味著使用者抵押在Lendf.Me的資產幾乎全被洗劫一空,網友們也瞬間炸開了鍋,諷刺DeFi就是駭客的提款機。
還有受害者無奈表示:我躲過了爆倉,躲過了Fcoin,躲過了各種資金盤,卻摔倒在年化1%的DeFi理財上。
那麼,幣圈熱門賽道DeFi為什麼變得人人喊打?以及為何駭客們總是屢屢得手?
聽鑑叔好好嘮嘮。
DeFi安全事故頻發
其實,DeFi被罵成駭客提款機並不冤。
僅僅2020年2月-7月,DeFi領域公開曝光的安全事故就有8起,鑑叔列了下其中影響比較大的幾起:
2 月 15 日,貸款協議 bZx 被駭客透過操縱預言機價格導致約 35 萬美元的損失;
3 月 12 日,惡意的“零出價拍賣”導致 MakerDao 500 多萬美元的不良債務;
4 月 18 日,Uniswap 遭受駭客的重入攻擊導致 1278 枚 ETH 的損失;
4 月 19 日,Lendf.Me 遭到駭客的重入攻擊導致超過 2500 萬美元的資產損失;
6 月 29 日,駭客兩次利用dydx的閃電貸攻擊了Balancer,導致總價值50.2萬美元的資產損失;
7 月 1 日,駭客在 Uniswap 上僅用 0.9ETH 盜走價值 90 萬美元的 VETH。
可以說,每一起事故都和駭客脫不開關係。
在4月份的這兩起中,駭客的攻擊手法如出一轍,都利用了“重入攻擊”。也就是在不到兩天的時間,駭客用同一個漏洞分別搞了2個平臺!
如果看到Uniswap被攻擊時,Lendf.Me能提起一點警惕心,也不至於死得這麼慘。
大家可能也很好奇,這是個什麼漏洞,駭客到底是怎麼利用的呢?
這就得回顧一下駭客攻擊Lendf.Me全過程了。
Lendf.Me 被盜事件經過
4月19日8點58分,駭客開始發起對Lendf.Me合約的攻擊。
他首先是發起了多次攻擊測試,試探了下攻擊的可行性,並且透過測試調整了自己的攻擊指令碼。
除錯沒多久,他的攻擊已經出現了效果,從下圖中的這筆交易可以看到,駭客持有的資金imBTC在成倍增長。
就這樣,截止11點32分,駭客透過不斷重複同樣的攻擊手段,成功盜走了價值2500萬美金的加密數字資產。
所以這個漏洞是什麼呢?
這就是重入攻擊(Re-entrancy):
攻擊者會編寫攻擊智慧合約,呼叫受害合約,利用自己的Fallback函式,迴圈呼叫一段受害者合約的程式碼。因為是重複進入受害者合約執行一段程式碼導致的漏洞,所以叫做重入攻擊。
為方便理解,鑑叔舉個例子,比如小黑去買奶茶,因為店鋪生意太好店員都忙的團團轉,小黑先跟店員A說要一杯15元的奶茶,店員A忘記收錢就去製作奶茶了。小黑就趁著A不注意,又跟店員B說要一杯15元的奶茶,並且把原先那15元給了B。
等到A把奶茶給小黑時,小黑說錢已經給B了,B邊做奶茶邊說確實收到了小黑的錢,於是,A就放心得繼續做其他生意了。
就這樣,小黑只花了15元,騙到了2杯奶茶。
而駭客就是利用了imBTC資產所用的ERC777協議不相容性,發起了重入攻擊,將偽造數目的imBTC作為抵押物從Lendf.Me中騙走了成倍的資產。
在拿到幣之後,這名駭客不斷透過各大去中心化交易平臺變現。
而Lendf.Me也釋出了公告,宣佈將現有合約永久關閉。
Lendf.Me上慘遭洗劫的投資人們,也在懵逼中接受了現實,畢竟是去中心化,平臺是不負責的。
不過,接下來卻發生了戲劇性的一幕:
4月19日22點12分,盜幣駭客開始向Lendf.Me陸續返還資產,並在鏈上留下資訊“Better Future”。
從鏈上資料顯示,22點16分,駭客向Lendf.Me Admin地址轉入126014PAX。
4月20日3點04分,駭客向Lendf.Me Admin地址轉入320.277個HBTC
4月20日3點20分,駭客向Lendf.Me Admin地址轉入381,162個HUSD
4月20日18點17分,Lendf.Me Admin在鏈上向駭客留下了資訊”Contact us. For your better future“
到了4月21日下午,駭客向平臺歸還了幾乎所有盜竊的代幣,包括57992枚ETH、425.61枚MKR、13.7萬枚DAI、50萬枚USDT,以及252.34枚imBTC等。
在收到所有資產後,Lendf.Me團隊啟動了資產返還計劃,確保使用者的全部資產都能獲得返還。
還好,這算是一個完美的結局。
那麼為什麼駭客願意返還所有的資產,難道就是為了讓Lendf.Me長點記性?
原來,因為這個駭客在去中心化交易所 1inch上暴露了自己的ip地址,警方和安全團隊根據駭客攻擊前後留下的痕跡,基本確定了駭客的畫像,並且監控到了所有的資金流向。
這意味著,如果再進一步追查,是有可能鎖定並抓捕到這名駭客的。
交易所1inch 和dForce團隊也在不斷配合新加坡警方給駭客施壓,所以最終駭客迫於重重壓力,不得不將資產返還給Lendf.Me。
有意思的是,1inch CEO Sergej Kunz這樣評價這名駭客:
意思就是說他是一名優秀的程式設計師,但卻是沒有經驗的駭客。
不過,雖然Lendf.Me丟的幣都拿回來了,但在前一天被同樣手法攻擊的Uniswap卻沒有這麼幸運,至今還沒有找到駭客的蹤跡,丟掉的ETH大概率也回不來了。
為什麼受傷的總是DeFi
這次Lendf.Me被盜雖然有了一個僥倖的結局,但是我們不得不反思,為什麼DeFi 專案這麼容易被盜?駭客為什麼總是喜歡盯著DeFi 搞事情?
1.開發者不重視智慧合約的安全性
Compound創始人Leshner在Lendf.Me被盜一事發生後,立即發推特表示:
“如果一個專案無法足夠專業,無法構建自己的智慧合約,而是直接複製,或者在他人智慧合約的基礎上稍作修改,那麼他們實際上沒有考慮安全性問題的能力或者意願。希望開發者和使用者能從Lendf.Me事件中吸取教訓。”
是的,他所說的直接複製別人智慧合約的就是Lendf.Me。
當初Lendf.Me直接分叉了Compound v1的程式碼,並且沒有考慮到太多安全性方面的問題,所以正是Lendf.Me的懶惰,導致了這次事故的發生。
實際上現在主流的DeFi協議都是基於以太坊網路建設的,這意味著以太坊出現過的各種漏洞,都可能在DeFi專案中出現。
比如這次事故中駭客所利用的重入攻擊,早在2016年以太坊的The DAO事件中就出現過,當時駭客也是利用了類似的漏洞進行了重入攻擊,導致了The DAO上價值約6千萬美元的以太幣被盜,最後還促使以太坊被迫硬分叉,分為以太坊 ETH 和以太經典 ETC 兩條鏈。
血淋淋的教訓在前,然而到了2020年,開發者們還是不重視程式碼和合約的安全。
2.監控系統相當不完善
前面提到,駭客是從4月19日8點58分開始攻擊的,到11點32分駭客才搬完所有資產。
差不多2個半小時裡,Lendf.Me的技術團隊沒有一點察覺,一直到12點57分,才陸續關閉了Lendf.Me和USDx合約。
這時候黃花菜都涼了。
由此可見,在駭客面前,Lendf.Me的監控系統幾乎就是個擺設,根本無法及時預警系統資產出現的異常情況。
你放心把資產交給這樣的DeFi團隊嘛?
3.駭客攻擊收益高
駭客的工作基本都是高風險高收益。
現在不知道有多少駭客盯著DeFi這座金礦,因為在DeFi領域,最常見的就是客戶資產託管或借貸理財類的專案,這種業務形態決定了它會囤積大量的使用者資產。
再加上程式碼都是開源的,對比中心化系統,駭客更容易找到系統中的漏洞。
這次事件中,駭客只用了同一個攻擊手段,就在短短2個多小時盜走了2500萬美金的資產。
並且因為去中心化資產匿名性和流通性更好,出手也方便,駭客攻擊成本也相對更低。
所以鑑叔判斷,DeFi被盜事件不會就這樣消停下來,DeFi駭客提款機的稱號也將繼續。
鑑叔總結
這一次Lendf.Me被駭客攻擊事件,給DeFi甚至是整個區塊鏈行業都敲響了警鐘。
現在區塊鏈行業發展越來越快,區塊鏈安全也越來越重要,開發者在做系統設計和開發的時候,一定要做好安全審計和漏洞排查,還要建立完善的風控體系,這樣才能從源頭上保證系統的安全性。
對於普通的投資人來說,如今的DeFi還非常稚嫩且脆弱,請謹慎參與。如果一定要玩,優先選擇市場穩定性較高(至少平穩運營1年以上),並且有完備的安全審計報告的。
再就是一定要分散資產,不要把所有雞蛋都放在同一個籃子裡。
這個道理,說100遍都不嫌多啊。
動動手指轉發這篇文章給身邊的朋友,讓大家都一定要提高警惕,避免自己的資產損失啊。
