2020年最赚钱的项目,竟然沦为黑客的提款机?

 空投币   2020-07-16  来源:互联网  0 条评论
优质活动 币圈快讯 平台公告 行情分析
最新羊毛 最新空投 链圈挖矿 活动线报
新币上市 币圈空投 国外项目 币链屋
提醒:本站内容均转自网络,仅用于开发者下载测试,请明辨风险,若涉资金安全及隐私,请谨慎!谨慎!再谨慎!一切风险自担,涉及资金交易及个人隐私务必小心并远离,切记千万别投资,勿上当受骗。《本站免责申明》


2020年以来,DeFi 就一直备受关注,甚至被认为是区块链的新风口,其锁仓资金也突破了25.3亿美金,达到了历史新高。


不过,这块肥肉也被黑客盯上了。


这不,就在半个月前,DeFi 平台Uniswap 又遭到了攻击,黑客仅用0.9个ETH就盗走了91万枚VETH,价值超过了90万美金。


而类似的黑客事件之前也发生了多起。


今年4月19日上午,DeFi 另一个平台 Lendf.me 也遭到了黑客的攻击,损失了大约2500万美金的资产。


在不到24小时的时间里,Lendf.me的锁仓资产直接从2499万美元暴跌至1万美元。



这意味着用户抵押在Lendf.Me的资产几乎全被洗劫一空,网友们也瞬间炸开了锅,讽刺DeFi就是黑客的提款机。



还有受害者无奈表示:我躲过了爆仓,躲过了Fcoin,躲过了各种资金盘,却摔倒在年化1%的DeFi理财上。



那么,币圈热门赛道DeFi为什么变得人人喊打?以及为何黑客们总是屡屡得手?


听鉴叔好好唠唠。



其实,DeFi被骂成黑客提款机并不冤。



可以说,每一起事故都和黑客脱不开关系。


在4月份的这两起中,黑客的攻击手法如出一辙,都利用了“重入攻击”。也就是在不到两天的时间,黑客用同一个漏洞分别搞了2个平台!


如果看到Uniswap被攻击时,Lendf.Me能提起一点警惕心,也不至于死得这么惨。


大家可能也很好奇,这是个什么漏洞,黑客到底是怎么利用的呢?


这就得回顾一下黑客攻击Lendf.Me全过程了。




4月19日8点58分,黑客开始发起对Lendf.Me合约的攻击。


他首先是发起了多次攻击测试,试探了下攻击的可行性,并且通过测试调整了自己的攻击脚本。




调试没多久,他的攻击已经出现了效果,从下图中的这笔交易可以看到,黑客持有的资金imBTC在成倍增长。



就这样,截止11点32分,黑客通过不断重复同样的攻击手段,成功盗走了价值2500万美金的加密数字资产。


所以这个漏洞是什么呢?



为方便理解,鉴叔举个例子,比如小黑去买奶茶,因为店铺生意太好店员都忙的团团转,小黑先跟店员A说要一杯15元的奶茶,店员A忘记收钱就去制作奶茶了。小黑就趁着A不注意,又跟店员B说要一杯15元的奶茶,并且把原先那15元给了B。


等到A把奶茶给小黑时,小黑说钱已经给B了,B边做奶茶边说确实收到了小黑的钱,于是,A就放心得继续做其他生意了。


就这样,小黑只花了15元,骗到了2杯奶茶。


而黑客就是利用了imBTC资产所用的ERC777协议不兼容性,发起了重入攻击,将伪造数目的imBTC作为抵押物从Lendf.Me中骗走了成倍的资产。


在拿到币之后,这名黑客不断通过各大去中心化交易平台变现。


而Lendf.Me也发布了公告,宣布将现有合约永久关闭。



Lendf.Me上惨遭洗劫的投资人们,也在懵逼中接受了现实,毕竟是去中心化,平台是不负责的。


不过,接下来却发生了戏剧性的一幕:


到了4月21日下午,黑客向平台归还了几乎所有盗窃的代币,包括57992枚ETH、425.61枚MKR、13.7万枚DAI、50万枚USDT,以及252.34枚imBTC等。


在收到所有资产后,Lendf.Me团队启动了资产返还计划,确保用户的全部资产都能获得返还。


还好,这算是一个完美的结局。


那么为什么黑客愿意返还所有的资产,难道就是为了让Lendf.Me长点记性?


原来,因为这个黑客在去中心化交易所 1inch上暴露了自己的ip地址,警方和安全团队根据黑客攻击前后留下的痕迹,基本确定了黑客的画像,并且监控到了所有的资金流向。



这意味着,如果再进一步追查,是有可能锁定并抓捕到这名黑客的。


交易所1inch 和dForce团队也在不断配合新加坡警方给黑客施压,所以最终黑客迫于重重压力,不得不将资产返还给Lendf.Me。


有意思的是,1inch CEO Sergej Kunz这样评价这名黑客:



意思就是说他是一名优秀的程序员,但却是没有经验的黑客。


不过,虽然Lendf.Me丢的币都拿回来了,但在前一天被同样手法攻击的Uniswap却没有这么幸运,至今还没有找到黑客的踪迹,丢掉的ETH大概率也回不来了。




这次Lendf.Me被盗虽然有了一个侥幸的结局,但是我们不得不反思,为什么DeFi 项目这么容易被盗?黑客为什么总是喜欢盯着DeFi 搞事情?


1.开发者不重视智能合约的安全性

Compound创始人Leshner在Lendf.Me被盗一事发生后,立即发推特表示:




是的,他所说的直接复制别人智能合约的就是Lendf.Me。


当初Lendf.Me直接分叉了Compound v1的代码,并且没有考虑到太多安全性方面的问题,所以正是Lendf.Me的懒惰,导致了这次事故的发生。


实际上现在主流的DeFi协议都是基于以太坊网络建设的,这意味着以太坊出现过的各种漏洞,都可能在DeFi项目中出现。


比如这次事故中黑客所利用的重入攻击,早在2016年以太坊的The DAO事件中就出现过,当时黑客也是利用了类似的漏洞进行了重入攻击,导致了The DAO上价值约6千万美元的以太币被盗,最后还促使以太坊被迫硬分叉,分为以太坊 ETH 和以太经典 ETC 两条链。


血淋淋的教训在前,然而到了2020年,开发者们还是不重视代码和合约的安全。


2.监控系统相当不完善

前面提到,黑客是从4月19日8点58分开始攻击的,到11点32分黑客才搬完所有资产。


差不多2个半小时里,Lendf.Me的技术团队没有一点察觉,一直到12点57分,才陆续关闭了Lendf.Me和USDx合约。


这时候黄花菜都凉了。


由此可见,在黑客面前,Lendf.Me的监控系统几乎就是个摆设,根本无法及时预警系统资产出现的异常情况。


你放心把资产交给这样的DeFi团队嘛?


3.黑客攻击收益高

黑客的工作基本都是高风险高收益。


现在不知道有多少黑客盯着DeFi这座金矿,因为在DeFi领域,最常见的就是客户资产托管或借贷理财类的项目,这种业务形态决定了它会囤积大量的用户资产。


再加上代码都是开源的,对比中心化系统,黑客更容易找到系统中的漏洞。


这次事件中,黑客只用了同一个攻击手段,就在短短2个多小时盗走了2500万美金的资产。


并且因为去中心化资产匿名性和流通性更好,出手也方便,黑客攻击成本也相对更低。


所以鉴叔判断,DeFi被盗事件不会就这样消停下来,DeFi黑客提款机的称号也将继续。



这一次Lendf.Me被黑客攻击事件,给DeFi甚至是整个区块链行业都敲响了警钟。


现在区块链行业发展越来越快,区块链安全也越来越重要,开发者在做系统设计和开发的时候,一定要做好安全审计和漏洞排查,还要建立完善的风控体系,这样才能从源头上保证系统的安全性。


对于普通的投资人来说,如今的DeFi还非常稚嫩且脆弱,请谨慎参与。如果一定要玩,优先选择市场稳定性较高(至少平稳运营1年以上),并且有完备的安全审计报告的。


再就是一定要分散资产,不要把所有鸡蛋都放在同一个篮子里。


这个道理,说100遍都不嫌多啊。


动动手指转发这篇文章给身边的朋友,让大家都一定要提高警惕,避免自己的资产损失啊。

爆料 咨询

请添加【鉴叔】私人微信

有事我们私下说



本文地址:http://bilianwu.com/61121.html
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!
重要提醒:本站内容均转自互联网,请明辨各个项目风险,不构成投资建议,如涉及资金交易,请谨慎操作与自担风险!
《新人必看》 《本站免责申明》

评论已关闭!