4 月 22 日凌晨,dForce 官方發文表示,截至 4 月 21 日下午 14 點 41 分已追回被盜的近 2500 萬美金數字資產。
在 4 月 19 日攻擊事件發生後,慢霧安全團隊一直保持著高度關注,不斷地追蹤被盜資產動向、統計損失總額、分析駭客攻擊過程,如下是簡要的事件回顧。
4 月 19 日 8 點 58 分,駭客開始對 Lendf.Me 合約發起攻擊
4 月 19 日 10 點 59 分,慢霧安全團隊釋出攻擊預警
慢霧:繼昨日 Uniswap 被攻擊後, Lendf.Me 今日被攻擊!
剛剛,慢霧安全團隊發現 Lendf.Me 遭遇攻擊,目前站點已經關閉。慢霧安全團隊分析發現與昨日攻擊 Uniswap 手法類似,極有可能是同一夥人所為。慢霧安全團隊正在緊張跟進分析中,後續將輸出詳細細節資訊。
4 月 19 日 12 點 25 分,慢霧安全團隊釋出攻擊者資產兌換預警
【慢霧:Lendf.Me 攻擊者持續將獲利的 PAX 進行轉出,總額近 58.7 萬枚 PAX】 據慢霧科技反洗錢(AML)系統監測顯示,Lendf.Me攻擊者 0xa9bf70a420d364e923c74448d9d817d3f2a77822 正持續不斷將攻擊獲利的 PAX 轉出兌換 ETH,使用的兌換平臺包括 1inch.exchange、ParaSwap 等。慢霧安全團隊在此提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
4 月 19 日下午,dForce、星火與 imToken 安全團隊線上下集結,並與慢霧安全團隊遠端連線成立“臨時安全團隊”,開始進行資產追回
4 月 19 日 15 點 03 分,慢霧安全團隊釋出損失金額統計預警
慢霧:Lendf.Me 被攻擊損失初步統計結果
據慢霧科技反洗錢(AML)系統統計顯示,根據攻擊者部署的攻擊合約(0x538359785a……759D91D)從 Lendf.Me 得到的資產統計來看,累計的損失約 24,696,616 美元,具體盜取的幣種及數額為:WETH: 55159.02134,WBTC: 9.01152,CHAI: 77930.93433,HBTC: 320.27714,HUSD: 432162.90569,BUSD: 480787.88767,PAX: 587014.60367,TUSD: 459794.38763,USDC: 698916.40348,USDT: 7180525.08156,USDx: 510868.16067,imBTC: 291.3471
之後攻擊者不斷透過 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平臺將盜取的幣兌換成 ETH 及其他代幣。
4 月 19 日 16 點 19 分,慢霧安全團隊經過內外部詳細的技術分析和驗證後,全球首發文章《DeFi平臺Lendf.Me被黑細節分析及防禦建議》,披露此次駭客攻擊事件的技術細節,並提供了相應的防禦建議
攻擊者的 withdraw() 呼叫是發生在 transferFrom 函式中,也就是在 Lendf.Me 透過 transferFrom 呼叫使用者的 tokensToSend() 鉤子函式的時候呼叫的。很明顯,攻擊者透過 supply() 函式重入了 Lendf.Me 合約,造成了重入攻擊。
針對本次攻擊事件慢霧安全團隊建議:
1、在關鍵的業務操作方法中加入鎖機制,如:OpenZeppelin 的 ReentrancyGuard
2、開發合約的時候採用先更改本合約的變數,再進行外部呼叫的編寫風格
3、專案上線前請優秀的第三方安全團隊進行全面的安全審計,儘可能的發現潛在的安全問題
4、多個合約進行對接的時候也需要對多方合約進行程式碼安全和業務安全的把關,全面考慮各種業務場景相結合下的安全問題
5、合約儘可能的設定暫停開關,在出現“黑天鵝”事件的時候能夠及時發現並止損
6、安全是動態的,各個專案方也需要及時捕獲可能與自身專案相關的威脅情報,及時排查潛在的安全風險
4 月 20 日,基於駭客在攻擊前後留下的痕跡,“臨時安全團隊”成功確定了準確的駭客畫像,並開始與國內外各方資源進行交叉對比,獲得突破性線索,離駭客越來越近
4 月 21 日下午,駭客在重重壓力下,與 dForce 主動溝通,並開始歸還部分資產。繼續溝通後,所有資產被成功找回
從 4 月 19 日到 4 月 21 日,“臨時安全團隊”經歷了最複雜的黃金 48 小時,周密的工作部署起到了決定性作用,最終得到了漂亮的結果。千言萬語,就此塵封,在此慢霧安全團隊對“臨時安全團隊”裡的所有成員致以最高敬意,並對這次過程中所有直接間接幫助過這次行動的人表示真摯的感謝,這是個影響深遠,載入加密貨幣史冊的一次成功行動,大家一起創造了歷史。
完整事件回顧可檢視 dForce 官方文章《駭客攻擊事件真相還原》。
相關回顧
慢霧:詳解 Uniswap 的 ERC777 重入風險
慢霧:DeFi平臺Lendf.Me被黑細節分析及防禦建議
慢霧:詳解 DeFi 協議 bZx 二次被黑
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
