DeFi 1日连遭2次攻击,dForce疑被盗2500万美元资产

Apatheticco 发布在 链头条 区块链 24563

北京时间8点45分,DeFi贷款协议Lendf.Me在区块高度9899681遭受攻击,目前技术团队已经定位问题,并在网页端建议所有用户停止往借贷协议存入资产。

Lendf.Me是去中心化金融和货币协议平台dForce去年9月上线的首个社区项目。DeFi Pulse数据显示,dForce锁仓资产在几个小时内跌落57%。目前平台上多个资金的利用率高达99%,imBTC的资金利用率则为100%。链上数据显示,攻击者已将资产转入Compound和 Aave平台。

据慢雾科技反洗钱(AML)系统监测显示,今日中午,Lendf.Me攻击者 0xa9bf70a420d364e923c74448d9d817d3f2a77822 正持续不断将攻击获利的 PAX 转出兑换 ETH,使用的兑换平台包括 1inch.exchange、ParaSwap 等,总额近 58.7 万枚 PAX。

该团队的分析还发现,此次攻击与昨日攻击Uniswap手法类似,极有可能是同一伙人所为。

4月18日下午,Tokenlon DEX今日在推特上称,Uniswap上imBTC池今日遭到攻击并已耗尽。Tokenlon随即暂停imBTC转移。据安全机构PeckShield分析,Uniswap在攻击中损失了1,278个ETH,价值约22万美元,此外还有大约18.37个 imBTC被0x3195c3和0x17559a开头的两个套利者以较低的价格获取。

据分析,黑客利用Uniswap和ERC777的兼容性问题,在进行 ETH-imBTC 交易时,利用ERC777中的多次迭代调用tokensToSend来实现重入攻击。这次攻击损失仅限于 Uniswap 上的ETH-imBTC 流动池,其他 DeFi 协议及 BTC 托管均未受影响。PeckShield 认为,自从年初的bZx攻击事件开始,这又是一起黑客利用DeFi系统性风控漏洞实施的攻击。

不过很快,Tokenlon 全面恢复 imBTC 合约转账及交易功能,但在此期间建议用户先暂停使用Uniswap的 ETH-imBTC 流动池。Lendf.Me被攻击后,Tokenlon今日也宣布,暂时下架Lendf.Me。

目前,DefiPulse数据显示,dForce锁仓总价值已归零,造成的损失或达到约2500万美元。DeFi社区也在积极关注此事,但认为追回全部损失难度较大。锁定黑客谈判以尽量挽回损失,可能是目前唯一的办法。

WX20200419-123758@2x

针对此次攻击,有社区成员提出质疑,imBTC作为资产发行方,在没有确认其他DeFi合作伙伴是否都安全的情况下,就重新开通imBTC的合约转账功能,是否存在一定过失。

对此,imBTC的发行方imToken创始人何斌回应称,昨天 uniswap 池出问题后,我们第一时间暂停合约,联系合作伙伴自查。在下午5点多得到官方明确后,imBTC在6点重新恢复的。社区也对此表示认同。

此次事件对于DeFi生态来说无疑是有一次巨大的冲击,接连遭到攻击也不仅让人想到2018年到2019年的Dapp。Code is law是区块链极客们的信仰,是去中心化最靓丽的标签,但接连暴露出的安全问题,也的确急需行业去妥善解决。道路是困难的,但前景一定是光明,希望DeFi能在每一次伤痛中成长,最终成为真正成熟的开放金融。

本文链接:https://www.8btc.com/article/584693
转载请注明文章出处

评论(6)
登录 账号发表你的看法,还没有账号?立即免费 注册
  • bitcoinhack 2020-04-19
    defi就是搞笑项目,黑客提款机[笑cry]
  • bitcoinhack 2020-04-19
    还不如去交易所玩,这玩意就是搞笑的
  • btcnightcat 2020-04-19
    DEFI也是加杠杆,还没有一个央妈来救,最终的结局都是走出钓鱼线
  • 大bobo哥哥 2020-04-19
    币圈,黑客提款机,
  • 寒冰掌BTC 2020-04-19
    可惜很多人没有一点点金融常识,说了和bts一样会进入死胡同,然而信仰者都说这次不一样defi是革命[doge]
  • 花彤子 2020-04-19
    搞不懂,慢雾也是一家第三方公司,并不是官方机构,为什么每次都要慢雾说什么什么的。作为一家公司成立的唯一目的就是赚钱,那它什么可能做到公正客观?它说错了又不要负责任