木星链 木星链
Ctrl+D收藏木星链
首页 > MATIC > 正文

BTC:DeFi现严重信任危机:Lendf Me2500万美元被盗,网友:黑客提款机

作者:

时间:1900/1/1 0:00:00

黑客越来越“猖狂”了。

据外媒报道,4月19日上午,国产DeFi借贷协议Lendf.Me被曝遭受黑客攻击,据悉,黑客利用imBTC的ERC777合约漏洞来实现重入攻击,Lendf.Me损失了大约2500万美元。据安全公司透露,dForce团队追回这笔损失的可能性微乎其微,目前dForce团队正在定位被攻击原因,并在网页端建议所有用户停止往Lendf.Me协议存入资产。而在今日上午,攻击者目前共向DeFi借贷协议Lendf.Me归还38万枚HUSD、320枚HBTC和12.6万枚PAX,并留下纸条:“下次好运”。

网友也笑称其为“黑客提款机”。

什么是Lendf.Me?

可能很多童鞋对Lendf.Me是什么还很陌生,所以在这之前,雷锋网先带大家了解下Lendf.Me是什么。

简单来说,Lendf.Me是dForce旗下的一个借贷协议。

DeFi交易平台Aurox以7500万美元估值寻求100万美元融资:金色财经报道,据Aurox在代币化证券场所tZERO上的筹款仪表板,DeFi交易平台Aurox以7500万美元寻求100万美元融资,面向散户投资者的最低投资仅为252美元,结束这一轮融资的目标日期是3月15日。根据提交给美国证券交易委员会并经CoinDesk审查的文件,Aurox的每股价格定为6美元,并发售169,000股。

该公司在其筹款网站上表示,Aurox于2020年推出了一个名为AuroxTerminal的一体化交易平台,该平台整合了50多家交易所,目前拥有70,000名用户和10亿美元的交易量。它还拥有一个加密钱包产品,并制作了自己的DeFi智能合约协议和原生生态系统令牌URUS。[2023/3/1 12:35:44]

据其官网介绍,dForce是一个基于区块链的去中心化金融和货币协议平台,同时也是第一个获得世界领先商业银行战略投资的稳定币和DeFi协议平台,旨在为开放式金融应用程序提供底层基础设施。团队核心成员来自高盛、渣打、花旗、弘毅等顶尖金融机构的精英人员和数字货币行业的早期参与者。

以太坊隐私Layer2解决方案Aztec推出DeFi隐私桥Aztec Connect:7月7日消息,以太坊隐私Layer2解决方案Aztec宣布,为DeFi交易提供隐私保护的桥Aztec Connect现已上线主网,允许用户以隐私方式连接到以太坊的DeFi生态系统,包括Uniswap、Lido和Aave等应用程序。

此前6月10日消息,以太坊隐私Layer2解决方案Aztec因故障延期上线Aztec Connect。(CoinDesk)[2022/7/7 1:58:41]

2019年9月,dForce首个由社区开发者主导开发的去中心化借贷协议Lendf.Me正式发布。据其官网介绍,Lendf.Me是基于全球资金池模式的去中心化货币市场,可以为用户提供灵活、便捷的理财和贷款服务,其中包括:

Parallel通过XCM与Moonbeam集成,将PARA以及DeFi用例带入Moonbeam生态:据官方消息,基于波卡的多链去中心化应用开发平台Moonbeam宣布与Parallel Finance集成,Parallel的PARA也已上线Moonbeam。当将PARA以xcPARA的形式存入Moonbeam后,即可用于Moonbeam活跃的DeFi生态系统当中。同时,GLMR同样能够用于Parallel的一站式DeFi平台所提供的功能。此为Moonbeam第二个与其他独立平行链的跨链连接。[2022/6/22 1:23:58]

USDx生息:活期理财,随存随取;USDx贷款:抵押ETH,获得USDx贷款。针对存款方:

将USDx存入http://Lendf.Me获取利息收入;闲置资金活期理财,更高收益、更低风险、更好的流动性。针对借贷方:

避免卖币套现错失资产升值的用户:不用变卖手上的数字资产,通过抵押的方式参与USDx借贷,通过支付少量的贷款利息,获取更高的资产增值。需要更多资金投资优质资产的用户:通过资产抵押的方式获取流动现金,投资于优质标的,加快资产增长速度。值得注意的是,用户通过Lendf.Me进行USDx存款不收取任何费用;申请USDx贷款只需要承担0.05%的一次性手续费。

YFI创始人:通过DeFi协议激励机制过分赚取收益将阻碍开发者建设:DeFi衍生品平台Synthetix创始人Kain Warwick在推特表示:“我对那些通过建立DeFi协议而赚大钱的人没有意见。如果我们想要吸引那些在金融科技糟糕的TradFi覆盖层中苦苦挣扎的了不起的创始人,我们需要强大的激励机制把它们转换成加密货币。”yearn.finance创始人Andre Cronje则回复称:“激励机制应该是一致的/公平的吗?通过克隆别人的作品,仅靠不到两周的工作就能获得150万美元的临时收入,这似乎很难达成共识。如果是这样,我是否应该停止开发,除非人们付给我每件产品300万美元?”随后他再次发推表示:“如果投票通过了,我们就有优先权了。创始人/团队会开始期望这成为规范,如果不是,他们就不会构建协议。这种现状比ICO时代严重得多,我认为这将阻碍开发者建设。“[2020/9/12]

那么,黑客又是如何对其攻击的呢?

Lendf.Me2500万美元被洗劫一空

据外媒ZDnet报道,黑客似乎把不同区块链技术的漏洞和合法功能联系在一起,精心策划了一场复杂的“重入攻击”。而重入攻击允许黑客在原始交易被批准或拒绝之前,在一个循环中反复提取资金。

美SEC委员:DeFi已引起美国SEC注意 将挑战监管方式:美国证券交易委员会(SEC)委员、“加密妈妈”Hester Peirce接受采访时表示,DeFi虽然现在还处于初期阶段,但委员会已经开始注意到这一点,因为DeFi提出了改变游戏规则的问题,“我认为这将挑战我们的监管方式。”(theblock)[2020/9/2]

尽管该攻击的细节尚未透露,但值得注意的是,在1月份,Lendf.Me与imBTC集成。4月18日,imBTC在Uniswap去中心化交易所的流动池被攻击,导致价值约30万美元的代币损失。

通过初步分析,安全研究人员认为Uniswap和Lendf.me手法类似,极有可能是同一伙人所为。

Uniswap和Lendf.me的相似之处在于,这两个平台都在使用:Lendf.me协议、imBTC和ERC-777。

雷锋网了解到,imBTC是imToken推出的以太坊区块链上的BTC代币,ERC777是在ERC20基础上推出的代币标准,兼容ERC20,并在ERC20的基础上增加了一些新的特性。

imBTC本身并没有安全问题。但ERC-777代币与Lendf.Me合约组合,就会产生重入攻击漏洞。

正是如此,黑客才能利用漏洞,在Lendf.Me上重复铸造出了6700多枚假的imBTC,并以此为抵押,将Lendf.Me上的资产洗劫一空,并立即不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币,还将其余部分赃款转入了借贷平台Compound和Aave。

截止目前,Lendf.Me2500万美元被洗劫一空,虽然攻击者今日归还了部分,但依旧杯水车薪,同时其安全性也受到业内同行的质疑。

Compound创始人Leshner在Lendf.Me被盗一事发生后,也立即发推特表示:

“如果一个项目无法足够专业,无法构建自己的智能合约,而是直接复制,或者在他人智能合约的基础上稍作修改,那么他们实际上没有考虑安全性问题的能力或者意愿。希望开发者和用户能从lendf.Me事件中吸取教训。”

dForce创始人杨民道也立即发声明称:目前团队正在积极补救,包括:

1.与顶尖安全团队合作,对Lendf.Me进行更为全面的安全评估;

2.与合作伙伴积极探讨可行的解决方案。虽然我们遭遇了攻击,但我们不会就此被打倒。

3.与主流交易所、OTC交易商、机构积极配合展开相关调查,竭尽全力追索被盗款项,追踪黑客动态。

为此,安全研究人员也解释了DeFi为何总是被黑客攻击:DeFi的最大特性在于其开放性:一是对用户的开放性,二是合约间的开放性,所以DeFi只要有一个模块出了问题,可能就会拖垮整个生态,因此极易成为黑客的攻击目标。从今年年初的bZx攻击事件再到Uniswap和dForce的攻击事件,已经充分说明黑客已经掌握了DeFi系统性风控漏洞的要害,充分利用DeFi的可组合性对DeFi接二连三地实施攻击。

所以安全研究人员建议DeFi开发者们在代码层面不断作出改进和更新,不要一位地追求DeFi产品的高组合性,同时也应该注重不同DeFi产品在安全上的可匹配性。

附dForce声明:

2020年4月19日,dForce生态里的货币市场Lendf.Me遭遇黑客攻击,导致市值约两千五百万美金的资产从合约里被取出。

北京时间早9:15分左右,我们通过内部监控系统发现了黑客的异常转账行为。随即我们暂停了Lendf.Me和USDx合约,并临时关闭网站以对黑客活动进行调查。现在调查仍在进行中,我们已经掌握了部分有关黑客的信息,目前来看黑客已经停止攻击。

此次黑客攻击主要是利用imBTC资产ERC777标准的漏洞进行了重入攻击。回调机制允许黑客反复将伪造的imBTC作为抵押物借出款项。

截至发稿,黑客试图联系我们,我们也表达了沟通的意愿。

此次攻击伤害到的不仅仅是我们的用户、合作伙伴,同时也严重伤害了我、我的合伙人以及整个团队的利益。我个人也在本次黑客攻击中遭到了严重的经济损失。

这次意外是我的失误,我有勇气面对接下来的挑战。虽然不一定能完全规避该类恶性事件的发生,但我们本该采取更好的预防措施。我会尽全力改善目前的状况,同时也真诚地向我们的用户、投资人、合作伙伴道歉,对不起,我们让大家失望了。

我们将于北京时间2020年4月20日23:59分前,向社区提供进一步的说明解释。

自事发至今,我们一直努力在寻求妥善的解决方案,包括:

1.与顶尖安全团队合作,对Lendf.Me进行更为全面的安全评估;

2.与合作伙伴积极探讨可行的解决方案。虽然我们遭遇了攻击,但我们不会就此被打倒。

3.与主流交易所、OTC交易商、机构积极配合展开相关调查,竭尽全力追索被盗款项,追踪黑客动态。

虽然此次黑客攻击对我们造成了严重的伤害,但我们不会就此一蹶不振。自事发起至今,我收到了无数的慰问、鼓励和支持。我对dForce社区给予我们的关怀与帮助深表感激,我们也将继续努力奋战,不会放弃任何希望。

dForce创始人

杨民道

标签:BTCdForceUSDBTCs是不是黄了btc钱包官网btc短线交易局dForce币是什么币USD币USD价格

MATIC热门资讯
VIP:“吃鸡”最便宜M416皮肤上线了?实际上,有2款M416可以免费获得

大家好,欢迎来到《刺激实战教室》,我是你们的老朋友刺激哥。在和粉丝闲聊的时候,有粉丝发表了一个很有趣的观点:我终于获得了最便宜的M416皮肤。在看到这个观点以后,刺激哥也是很无奈地摇了摇头.

1900/1/1 0:00:00
数字货币:又背刺,“新全球货币”更胜Libra,原伙伴抢争跳槽?

稿源:区块链达人-coinicle作者:coinicle 2019年6月中旬,社交平台巨头Facebook推出一款全球性的数字货币天秤币.

1900/1/1 0:00:00
区块链:区块链技术的起源与沿革(上篇):区块链网络与数字货币系统

作者:王翔 前言 说起当今最具代表性的数据通信技术,区块链无疑在列。作为当下最受关注的次世代分布式系统,区块链可谓众说纷纭,莫衷一是.

1900/1/1 0:00:00
数字货币:人民币未来长这样?关于央行数字货币的三个情景猜想

人民银行数字货币研究所相关负责人近日表示,目前数字人民币研发工作正在稳妥推进,先行在深圳、苏州、雄安新区、成都及未来的冬奥场景进行内部封闭试点测试,以不断优化和完善功能.

1900/1/1 0:00:00
NFT:熊猫债月报|多只疫情防控熊猫债成功发行,境外投资者追捧人民币债券

来源:东方金诚评级 作者|研究发展部丛晓莉 市场动态追踪 1.发行市场显著升温 2020年3月熊猫债发行总额为73亿元,市场累计发行规模已接近3900亿元.

1900/1/1 0:00:00
数字货币:数字货币深度报告:法定数字货币会是货币发展下一站吗

如需报告请登录。 越来越多国家关注央行数字货币虚拟货币向信用货币发起了挑战纵观货币发展史,货币出现于商品交换,其形态不断演进.

1900/1/1 0:00:00