Lendf.me 被黑客攻击,导致价值2500万美元的加密货币被盗,之后又很快在两日后被追回。这件事可以说是当之无愧本周加密领域最热门的事件。
今天行走输出的这份笔记,即来自亲身参与了追踪黑客,追回2500万美元加密货币全过程的当事人:慢雾科技创始人余弦。我们一起来看他都说了些什么。
以下,Enjoy:
主讲嘉宾:慢雾科技创始人余弦。慢雾科技成立于 2018 年 1 月,总部在厦门。专注区块链生态安全,过去两年安全服务多家加密货币领域头部或知名企业,也独家披露了不少安全漏洞和攻击事件。慢雾科技拥有开放、自由、分享的黑客文化。
主持人:链闻、刘锋
活动主办方:Math Show 第一期
主持人:我先问个简单的问题。听余弦刚才和我说,他刚刚睡了一个长长的觉。因为过去几天他和团队很忙碌,连轴转。应该是参与处理 Lendf.me 被盗资金的追讨。
我看 Lendf.me 介绍的情况中,专门提到了和慢雾的合作追凶。能不能请余弦讲讲,过去这几十个小时你们是怎么过来的。讲讲中间的经历?
余弦:在“慢雾科技”的公众号上,我们披露了一些过程。我提一些在这个过程中最关键的几个点。
1. 快速定位威胁情况和攻击细节
据慢雾科技反洗钱(AML)系统初步统计分析,Lendf.Me 被攻击累计的损失约 24,696,616 美元,具体盗取的币种及数额为:
WETH: 55159.02134,
WBTC: 9.01152,
CHAI: 77930.93433,
HBTC: 320.27714,
HUSD: 432162.90569,
BUSD: 480787.88767,
PAX: 587014.60367,
TUSD: 459794.38763,
USDC: 698916.40348,
USDT: 7180525.08156,
USDx: 510868.16067,
imBTC: 291.3471
之后攻击者不断通过 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币。
比如这些细节,当天我们就独立分析完成并全球发布。为什么这样做?是因为这次处理社区都非常之关注。只有快速给出最正确的漏洞原因,才能即时让一些谣言猜测停止。
大家可以看到,这次问题的本质发生在 Lendf.Me 的核心代码中存在重入攻击漏洞。而这个漏洞又需要基于 ERC777 代币的组合才能发生。
知道漏洞本质及攻击手法后,同时在链上是很容易知道攻击者具体盗走了多少资产的。
所以当一个攻击事件发生时,项目方除了快速止损外,第一步要做的就是“快速定位威胁情况和攻击细节”。
2、思考如何追回
其实追回是个非常复杂的事。
大家看时间线:
4 月 19 日下午,dForce、星火与 imToken 安全团队在线下集结,并与慢雾安全团队远程连线成立“临时安全团队”,开始进行资产追回。
也就是发生攻击之后,当天下午就组织成立了“临时安全团队”。
为什么要这样做?因为需要快速的信息对称,信息量很大也很杂,集中讨论了才好加快速度。
关于这个“临时安全团队”有多少人,都是谁之类的问题,不方便透露临时安全团队的任何未公布的信息,不好意思。但可以说明的是,这个团队是无报酬、自愿组建的。
然后在,黄金48小时内,我们搞定了一些关键里程碑:
4 月 20 日,基于黑客在攻击前后留下的痕迹,“临时安全团队”成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近。
4月20日,这是攻击发生后的第二天,我们有了非常关键的进展。
接着,还是在黄金48小时内:
4 月 21 日下午,黑客在重重压力下,与 dForce 主动沟通,并开始归还部分资产。继续沟通后,所有资产被成功找回
这是攻击发生后的第三天,正好距离“临时安全团队”成立有大概有48小时。
整个过程不仅是“临时安全团队”发挥了关键作用,还得到了非常多加密社区朋友直接与间接的帮助。
一切结束后,这个“临时安全团队”就和散架了一般,松了口气,太累了,各回各家。但结果大家看到了,是非常具有积极意义的。
我们开干时不知道结局,我们只知道:做,有可能,不做,就毫无机会。我们觉得这是一个很重要的象征性事务,好在结果是大家满意的。
这里面具体的细节和溯源取证的技术手法,这里就不方便提了。
提问:既然黑客能攻破/发现系统漏洞,那你们有没有考虑说向黑客抛出橄榄枝让他加入呢?
余弦:你放心,黑客是不会加入的,同样作为黑客的我,某些方面,我对他表示崇高敬意。
我只想说:一切翻篇、尘封、继续前行,未来还有不少坑呢。
主持人:你说了,未来还有不少坑。听了你的经历之后,特别想问问你。对于这次 Lendf.me 被攻击事件,你有没有什么感触?毕竟这涉及 2500 万美元的资产。
你觉得,这个事故中,大家应该吸取什么教训?当然了,我相信整个过程中,最大的受害者是 Lendf.me 和用户。也让所有人心有戚戚焉……
余弦:基于这种心理准备,我们来看 DeFi,这是个新事物,有几个比较重要的风险:技术安全风险、业务安全风险、合规安全风险。我们简单展开提下(以以太坊为例):
1. 技术安全风险
首先看公链本身,是否久经考验,足够安全?以太坊基本满足这点;
然后看智能合约的设计是否足够安全,Solidity 并不大满足;
再看相关的标准(如 ERC20, 223, 721, 777 等等)实现是否足够安全,这里最大的坑在于很多时候一个“特性”会变成一种“缺陷”;
再再看基于标准的成熟框架是否安全,如 OpenZeppelin 很优秀;
最后看项目方开发出来的是否是真的严格安全实践,这个就非常不好说了,很明显,开发的质量是参差不齐的。
2. 业务安全风险
业务决定于 DeFi 的设计,要做出什么?是抵押借贷、闪贷、交易等等。业务需要特别考虑的是安全风控。比如暴跌暴涨怎么办?比如突然出现的大额转币如何处理?比如如何解决第三方安全风险(如:接入第三方代币、和第三方联动等)?
3. 合规安全风险
如果是一个灰色或黑色边界的 DeFi,一不小心被一些国家的执法机构打掉或自己跑路了,怎么办?
这些内容,主要是给项目方和用户抛出的参考,都是需要关注的。
另外特别补充一些和用户角度有关的判断:
1 项目方内部有实力不错的安全团队或有丰富安全经验的核心人物把关;
2 项目方近半年内被第三方专业安全机构安全审计过并公开安全审计结果;
3 项目方有很长期持续紧密合作的第三方专业安全机构;
4 项目方核心成员对待安全的态度是坦然开放,勇于认错并持续真的把安全放在第一位, 而不是仅喊喊口号;
5 项目方对安全工作充满敬畏与尊重。
基于以上5点可以延伸出一些事实,比如:口碑、真实用户数、数据透明度、安全透明度等等。
所以:所有杀不死我的,都能让我更强大。
大家一起见证未来的一切吧,保持该有的信心,因为你已经在这了:)
主持人:这些建议都很实在。从另一个方面看,说实话,大家愿意去用 DeFi 产品,有很大原因是担忧中心化金融服务平台的安全性问题,希望通过 DeFi 讨个平安。
但是呢……今年一连串 DeFi 平台和产品被攻击……这让人对 DeFi 反而不被信任了。我觉得有点点遗憾。你怎么看?
余弦:我的看法不一样,大家来看看历史。
具体细节这里看:https://hacked.slowmist.io/
大家会看到,无论是中心化还是去中心化都有自己这条路径上非常惨重的历史案例。而具体到DeFi, 其实并不一定需要完全去中心,这是我的个人看法。
前面说的:“任何新事物在进化过程中都会有安全风险,这是进化法则告诉我们的,越早期这种风险越大,最终要么死亡,要么就会趋于某种比较稳定的平衡。”
但其实不必因此而打击信心,DeFi 一定有自己的定位。但 DeFi 也别想着一统天下。同样这段话也适合CeFi。我们应该会看到更多 DeFi + CeFi 的混合体出现。
我是黑客,我知道这些在我眼里都没有绝对的安全,都有许多薄弱点。所以 D 和 C 互相嘲讽,对于黑客来说,真是一件很不必要的事。对于黑客来说:不都一样吗?吵什么呢...
不是有人说:黑客是币圈食物链顶端吗?我还挺赞同这句话的。
但我需要声明的一点:黑客不都是坏的。对我们来说,我们更希望是往安全的方向去进化,但我们在对抗时,必须有足够的攻击思维。
你要用刑法里的招术来报复,那同样的,我们也只能拿刑法里的力量来对抗了。有所为有所不为,做好自己的事先。不是崇高,而是这就是社会法则。
主持人:这是一个之前收集到的问题,你们是搞审计的,我觉得很值得回答一下:
对 DeFi合约审计的作用有多大?能保证足够安全么?是否经过了审计的defi项目就值得信任呢?
余弦:DeFi的安全策略可以分三层, 安全审计是安全策略的第二层,第一层是 DeFi 开发安全,这个是项目方的事。
DeFi 安全审计可以在第二层规避不少问题,将安全防御水平提高一个更高的档次,所以意义还是很重要的。
但还有第三层:更新迭代、持续运营的安全。这个如果不注意就麻烦了。
只能说,经过安全审计的项目,可以让人更放心。但相信我,一定都有黑天鹅,来自未来的攻击。
大家需要注意,一个安全审计是发生在多久之前。如果审计发生的时间超过半年了,那就得担心了。
互动提问环节
1、大多数知名 DeFi 协议都是以某种形式被中心化控制的,虽然这种方式在安全性上有些好处,怎样才能避免管理员滥用自己的特权,或者说减少相关风险?
余弦:我对 D 或 C 的项目方不少厉害的角色都充满尊敬,我觉得他们可以创造出更好更安全的东西。
这个问题本身是人性的问题,有的可以技术解决,有的解决不了。技术上通过类似DAO的方式来控制,但这又会有问题,DAO的效率太低就麻烦了,出大问题了,只能眼睁睁看着。
但至少有一点项目方需要做的:透明。资产透明,权限透明,决策透明等等,让社区看得见,许多眼睛盯着会放心多些。
毕竟不是人人都是中本聪,匿名了、消失了。透明出来,大家都放心。
2、黑客之间的技术博弈会不会上升为物理人身攻击?担心你们的安全。
余弦:嗯,有的会。给大家分享点我们的理解。
黑客,好或坏,时好或时坏,这是价值观问题。我们尊重每个人的价值观。
但坏需要有个度。真的坏,坏到刑法里,那无论如何都是需要受到最严厉的制裁。
我们做安全的,当然也会担心被报复。这个早有觉悟,什么该出来说,什么该尘封,我们拿捏的还不错。
3、有没有一种方案,在用户和合约之间建中间件,这个中间件来做安全处理?
余弦:这个不知道,需要试验。
最近我有个想法,大家可以看看:https://firewallx.io/
这个防火墙是构建在EOS主网上的,核心是智能合约实现。以太坊上,ERC777这种偏复杂的也许也可以这样做。但还是上面说的:需要试验。
4、这次如果黑客不主动退回,资金能追讨回来吗?
余弦:这个不回答。因为会不小心说出了我们当时那个“临时安全团队”的一些内部情况,不好意思。
理解。其实我是想问:技术上有多大的可能性?因为DeFi的魅力是去中心化,是智能合约,但是受攻击后的修复和自己追讨,看起来完全是人和人之间的博弈了。
余弦:嗯,我说的是普遍说法,追回是个很难的事。但比较有意思的是,今年开始可能会提高追回的成功率。原因是各国司法、执法流程上开始支持加密货币了。
那么问题来了 如果黑客或者诈骗罪把他盗来的10个btc 存进defi 、 去中心化 然后受害者报警、那请问平台会不会迫于压力或者迫于一些利益 而吧这盗的币 弄出来 或者泄露信息给zf .jc呢?
余弦:这个就看各平台了。比如这次1inch.exchange给了新加坡警方黑客的IP,ParaSwap却拒绝了警方的要求。
5、代码的安全问题,几乎不可避免。DeFi是不是需要辅以更为成熟的风控机制,来避免大的损失?
余弦: 确实,如果攻击真的发生了,这个真的取决于这个项目是否有成熟的安全风控机制,没有的话,就很麻烦了。
如果这个项目完全去中心化,那用户也确实需要更加谨慎。因为出问题了,基本就是无力回天。项目方可以在用户使用这样的项目前做好足够清晰的风险声明,因为用户有知情权。
由于 DeFi 是新事物,并不像我们现在世界的成熟金融体系,有很足的法律保障、司法解释,出问题后到底是谁来负责,这个很难说,往往最终都会说“让社区来处理”。
6、你自己用 DeFi 平台么?你怎么确保使用 DeFi 平台时自己的资产安全?
判断依据我前面发过:
1 项目方内部有实力不错的安全团队或有丰富安全经验的核心人物把关;
2 项目方近半年内被第三方专业安全机构安全审计过并公开安全审计结果;
3 项目方有很长期持续紧密合作的第三方专业安全机构;
4 项目方核心成员对待安全的态度是坦然开放,勇于认错并持续真的把安全放在第一位, 而不是仅喊喊口号;
5 项目方对安全工作充满敬畏与尊重。
我个人并不是DeFi、 CeFi的重度用户。
以上就是余弦这篇笔记的全部内容。
今晚21点21分依然是行走固定发文时间,来自币乎今晚直播的笔记。
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!