買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 酷幣 > Info

EFI:Lendf.Me遭黑客攻擊損失約2470萬美元,DeFi為何安全問題頻發_Allocate Dividend

Author:

Time:1900/1/1 0:00:00

“DeFi平臺不作惡,奈何扛不住黑客太多。”繼4月18日Uniswap被黑客攻擊損失1278枚ETH之后,4月19日上午8點45分,國產DeFi借貸協議Lendf.Me被曝遭受黑客攻擊,據慢霧科技反洗錢(AML)系統統計顯示,此次Lendf.Me累計損失約2470萬美元,具體盜取的幣種及數額為:

之后攻擊者不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣。據安全公司透露,dForce團隊追回這筆損失的可能性微乎其微,目前dForce團隊正在定位被攻擊原因,并在網頁端建議所有用戶停止往Lendf.Me協議存入資產。

數據:Blend上線三天以來已促成了超過16000 ETH的貸款:5月4日消息,Dune Analytics數據顯示,自Blur推出NFT借貸市場Blend三天以來,該市場已促成了超過16000 ETH的貸款。[2023/5/5 14:43:32]

圖片來源于:Lendf.Me官網據Defipulse數據顯示,過去24小時內,dForce鎖倉資產美元價值下跌100%至1萬美元,而此前的鎖倉總價值超過2490萬美元。

Huobi 將于5月6日上線LHB(LendHub):據官方消息,Huobi Global“全球觀察區”定于2021年5月6日上線LHB(LendHub), 其中5月6日15:00 開放LHB的充幣業務,充值量滿足市場交易需求時開放LHB幣幣交易(LHB/USDT)。具體時間將以公告形式提前通知。新幣上線時,通常伴隨較為劇烈的價格波動,請評估風險后謹慎參與交易。[2021/5/6 21:28:57]

圖片來源于:Defipulse據慢霧科技反洗錢系統監測顯示,Lendf.Me攻擊者正持續不斷將攻擊獲利的PAX轉出兌換ETH,總額近58.7萬枚PAX,使用的兌換平臺包括1inch.exchange、ParaSwap等。攻擊者地址為0xa9bf70a420d364e923c74448d9d817d3f2a77822。據慢霧安全團隊分析發現,黑客此次攻擊Lendf.Me的手法與昨日攻擊Uniswap手法類似,均由于DeFi合約缺少重入攻擊保護,導致攻擊者利用ERC777中的多次迭代調用tokensToSend方法函數來實現重入攻擊,極有可能是同一伙人所為。慢霧安全團隊詳細分析了此次Lendf.Me攻擊的全過程:攻擊者首先是存入了0.00021593枚imBTC,但是卻從Lendf.Me中成功提現了0.00043188枚imBTC,提現的數量幾乎是存入數量的翻倍。那么攻擊者是如何從短短的一筆交易中拿到翻倍的余額的呢?通過分析交易流程,慢霧安全團隊發現攻擊者對Lendf.Me進行了兩次supply()函數的調用,但是這兩次調用都是獨立的,并不是在前一筆supply()函數中再次調用supply()函數。緊接著,在第二次supply()函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的withdraw()函數發起調用,最終提現。

JustLend存款規模已突破25.8億美金:據最新消息,目前JustLend存款規模突破25.8億美金,達到驚人的169.5億人民幣。

截至2021年3月31日,JustLend中最高存款APY代幣為SUN、WIN,分別達到47.25%、25.80%,除此外TRX、BTC、USDT等明星項目也在持續發放收益中。更多詳情請參考JustLend官方網站。[2021/4/1 19:36:05]

圖片來源于:慢霧安全團隊在這里,攻擊者的withdraw()調用是發生在transferFrom函數中,也就是在Lendf.Me通過transferFrom調用用戶的tokensToSend()鉤子函數的時候調用的。很明顯,攻擊者通過supply()函數重入了Lendf.Me合約,造成了重入攻擊。此次Lendf.Me協議被攻擊一事也讓大家對dForce的代碼審計方提出質疑,公開信息表明,Lendf.me協議分叉了Compoundv1代碼,而Compoundv1是trailofbits這家公司審計的。Compound創始人Leshner在Lendf.Me被盜一事發生后,也立即發推特表示:“如果一個項目無法足夠專業,無法構建自己的智能合約,而是直接復制,或者在他人智能合約的基礎上稍作修改,那么他們實際上沒有考慮安全性問題的能力或者意愿。希望開發者和用戶能從Lendf.Me事件中吸取教訓。”

庫幣CEO:庫幣沉睡用戶持有千萬美元LEND:庫幣CEO Johnny Lyu 9月5日在推特上表示,庫幣平臺現有約1千萬美元的LEND代幣等待沉睡用戶領取,涉及超過1萬名用戶。據悉,庫幣于2017年上線LEND,后因市場流動性較低等問題被下架,9月1日,庫幣已經重新上線LEND,并開放LEND/USDT、LEND/BTC交易服務。部分用戶近期登錄庫幣賬號后發現,其以前持有的LEND現報價0.56 USDT,較歷史最低價漲幅超165倍。[2020/9/5]

圖片來源于:twitter我們在此建議DeFi開發者們在設計產品時應該自主研發,建立自己的風控機制,提高風控能力。現在很多用戶擔心自己在Lendf.Me平臺的資產取不出來,根據Odaily星球日報的了解,dForce團隊正在全力處理此次攻擊事件,目前尚未給出具體的賠付方案。接連兩次的DeFi攻擊事件給我們帶來了哪些思考?

Asproex(阿波羅)于9月3日正式上線DeFi熱門幣種DOT、LINK、LEND、COMP:據官方消息,2020年9月3日,Asproex(阿波羅)正式上線DeFi熱門幣種DOT、LINK、LEND、COMP ,并于當日開通DOT/USDT、LINK/USDT、LEND/USDT、COMP/USDT交易對。開放充提時間:9月3日17:00;開放交易時間:9月3日18:00。2020年,DeFi流動性挖礦盛行,Asproex(阿波羅)已率先切入“DeFi”生態賽道,后續將為用戶甄選更優質的DeFi項目,讓用戶安全快捷參與DeFi浪潮。

Asproex(阿波羅)作為首家離岸銀行控股持牌交易平臺,也是一家涵蓋CTO企業通證上市的交易平臺,持有5國牌照,為全球中小微企業提供融資難的解決方案,助力數字化上市。[2020/9/3]

從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件,說明黑客已經掌握了DeFi系統性風控漏洞的要害,充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。DDEX運營負責人BowenWang曾在Odaily星球日報舉辦的「生機」云峰會上反思bZx事件的影響,“樂高的概念是因為所有積木都是樂高一家生產的,質量非常好。但是DeFi很多的部件質量參差不齊。像發生在bZx上的事情說明了一點,當你不是非常了解地基的時候,你越建越高反而越危險。”用木桶理論來解釋DeFi樂高的最大問題,DeFi系統的安全性取決于最短的那塊木板,所以DeFi樂高中只要有一個模塊出了問題,可能就會拖垮整個生態。這就需要DeFi開發者們在代碼層面不斷作出改進和更新,不要一位地追求DeFi產品的高組合性,同時也應該注重不同DeFi產品在安全上的可匹配性。此外,開發DeFi保險也可以在一定程度上緩解黑客攻擊給DeFi平臺帶來的損失,DeFi保險協議NexusMutual為bZx攻擊事件中遭受損失的用戶進行賠償已經為行業做了成功的示范。不過,DeFi保險產品目前還處于非常早期的開發階段,產品模型和運行方式尚未成熟,也缺乏統一的風險定價系統和賠付金保障機制,大部分保險平臺更像有一定保障性質、對沖幣價波動風險的衍生品工具,或者僅toB的平臺服務。總得來說,DeFi還處于發展初期,還有很多機制仍需不斷去完善,dForce作為深耕DeFi生態的優質從業者,我們也希望dForce團隊可以挺過這次危機,做好災后重建工作,重塑中國DeFi開發者們的信心。最新進展

4月20日凌晨,dForce創始人楊民道于Medium發文表示,黑客利用ERC777與DeFi智能合約的兼容問題實現重入攻擊,Lendf.Me損失了大約2500萬美元。目前,團隊正在開展如下行動:已與頂級安全公司聯系,對Lendf.Me進行更全面的安全評估;與合作伙伴一起制定一項解決方案,對該系統進行資本重組,雖然遭受了這次的襲擊,但我們不會停止腳步;正與主流交易所、OTC平臺以及相關執法部門合作,調查情況,阻止被盜資金的轉移,并追蹤黑客。此外,團隊將在北京時間4月20日晚上11:59在官方博客上提供更詳細的更新。另據鏈上信息顯示,攻擊者于4月20日凌晨3點左右,向Lendf.Me的admin賬戶轉回了38萬枚HUSD和320枚HBTC。更早之前,慢霧團隊曾監測到,攻擊者還轉回了12.6萬枚PAX,并附言“Betterfuture”。

推薦閱讀:《DeFi守護神是誰?》參考文章:《慢霧:DeFi平臺Lendf.Me被黑細節分析及防御建議》

Tags:ENDLENDDEFEFIAllocate DividendLendefiDives Defivelodromefinance幣開盤價預測

酷幣
DERI:專訪Deribit劉曉通 | 加密期權市場至少還有10倍的增長空間_比特幣

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 期權,是2020年加密衍生品賽道的新寵。從CME到OKEx,再到近期的幣安,都陸續入局期權交易.

1900/1/1 0:00:00
ETH:談去中心化:還沒走兩步,就要往回逃_defi幣今日行情

作者:NEST愛好者_DW1987最近有人因為312DeFi事件開始批判去中心化,有點像吃了帶毛豬就罵豬肉垃圾。這些人不去想想事情的根源,是屠夫沒有剃好毛呢,還是豬肉本身就不值一試.

1900/1/1 0:00:00
區塊鏈:科普:以太坊2.0信標鏈中的狀態轉換_區塊鏈dapp開發白富美

編者按:本文來自以太坊愛好者,作者:SlyGryphon,譯者&校對:IANLIU&阿劍,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
K21:吳說區塊鏈:嘉楠2019年人工智能收入為260萬 (附138頁全年詳細財報)_數字資產

嘉楠科技15日發布了審計后的全年詳細財報全文,并且披露了2019年的人工智能部分收入。吳說區塊鏈獲悉,正在向人工智能轉型的嘉楠科技,2019年人工智能部分收入為260萬人民幣.

1900/1/1 0:00:00
TAL:超話社區044期|區塊鏈變革慈善業,讓捐贈無國界、物款流向透明化_ave幣圈行情

2個月來,“新冠”肺炎疫情席卷全球。慈善機構的中心化運作、善款流向反饋不及時甚至有缺失,引發公眾信任危機的根源.

1900/1/1 0:00:00
POOL:比特幣秘史(七十九):最早出現也是最長壽的比特幣礦池?_比特幣市值走勢圖表

本文來自:哈希派,作者:LucyCheng,星球日報經授權轉發。 比特幣網絡GPU挖礦軍備賽的開啟,催發了礦池的誕生——2010年11月27日,世界上首個比特幣礦池Slushpool成立,201.

1900/1/1 0:00:00
ads