2020年以来,DeFi 就一直备受关注,甚至被认为是区块链的新风口,其锁仓资金也突破了25.3亿美金,达到了历史新高。
不过,这块肥肉也被黑客盯上了。
这不,就在半个月前,DeFi 平台Uniswap 又遭到了攻击,黑客仅用0.9个ETH就盗走了91万枚VETH,价值超过了90万美金。
而类似的黑客事件之前也发生了多起。
今年4月19日上午,DeFi 另一个平台 Lendf.me 也遭到了黑客的攻击,损失了大约2500万美金的资产。
在不到24小时的时间里,Lendf.me的锁仓资产直接从2499万美元暴跌至1万美元。
这意味着用户抵押在Lendf.Me的资产几乎全被洗劫一空,网友们也瞬间炸开了锅,讽刺DeFi就是黑客的提款机。
还有受害者无奈表示:我躲过了爆仓,躲过了Fcoin,躲过了各种资金盘,却摔倒在年化1%的DeFi理财上。
那么,币圈热门赛道DeFi为什么变得人人喊打?以及为何黑客们总是屡屡得手?
听鉴叔好好唠唠。
其实,DeFi被骂成黑客提款机并不冤。
可以说,每一起事故都和黑客脱不开关系。
在4月份的这两起中,黑客的攻击手法如出一辙,都利用了“重入攻击”。也就是在不到两天的时间,黑客用同一个漏洞分别搞了2个平台!
如果看到Uniswap被攻击时,Lendf.Me能提起一点警惕心,也不至于死得这么惨。
大家可能也很好奇,这是个什么漏洞,黑客到底是怎么利用的呢?
这就得回顾一下黑客攻击Lendf.Me全过程了。
4月19日8点58分,黑客开始发起对Lendf.Me合约的攻击。
他首先是发起了多次攻击测试,试探了下攻击的可行性,并且通过测试调整了自己的攻击脚本。
调试没多久,他的攻击已经出现了效果,从下图中的这笔交易可以看到,黑客持有的资金imBTC在成倍增长。
就这样,截止11点32分,黑客通过不断重复同样的攻击手段,成功盗走了价值2500万美金的加密数字资产。
所以这个漏洞是什么呢?
为方便理解,鉴叔举个例子,比如小黑去买奶茶,因为店铺生意太好店员都忙的团团转,小黑先跟店员A说要一杯15元的奶茶,店员A忘记收钱就去制作奶茶了。小黑就趁着A不注意,又跟店员B说要一杯15元的奶茶,并且把原先那15元给了B。
等到A把奶茶给小黑时,小黑说钱已经给B了,B边做奶茶边说确实收到了小黑的钱,于是,A就放心得继续做其他生意了。
就这样,小黑只花了15元,骗到了2杯奶茶。
而黑客就是利用了imBTC资产所用的ERC777协议不兼容性,发起了重入攻击,将伪造数目的imBTC作为抵押物从Lendf.Me中骗走了成倍的资产。
在拿到币之后,这名黑客不断通过各大去中心化交易平台变现。
而Lendf.Me也发布了公告,宣布将现有合约永久关闭。
Lendf.Me上惨遭洗劫的投资人们,也在懵逼中接受了现实,毕竟是去中心化,平台是不负责的。
不过,接下来却发生了戏剧性的一幕:
到了4月21日下午,黑客向平台归还了几乎所有盗窃的代币,包括57992枚ETH、425.61枚MKR、13.7万枚DAI、50万枚USDT,以及252.34枚imBTC等。
在收到所有资产后,Lendf.Me团队启动了资产返还计划,确保用户的全部资产都能获得返还。
还好,这算是一个完美的结局。
那么为什么黑客愿意返还所有的资产,难道就是为了让Lendf.Me长点记性?
原来,因为这个黑客在去中心化交易所 1inch上暴露了自己的ip地址,警方和安全团队根据黑客攻击前后留下的痕迹,基本确定了黑客的画像,并且监控到了所有的资金流向。
这意味着,如果再进一步追查,是有可能锁定并抓捕到这名黑客的。
交易所1inch 和dForce团队也在不断配合新加坡警方给黑客施压,所以最终黑客迫于重重压力,不得不将资产返还给Lendf.Me。
有意思的是,1inch CEO Sergej Kunz这样评价这名黑客:
意思就是说他是一名优秀的程序员,但却是没有经验的黑客。
不过,虽然Lendf.Me丢的币都拿回来了,但在前一天被同样手法攻击的Uniswap却没有这么幸运,至今还没有找到黑客的踪迹,丢掉的ETH大概率也回不来了。
这次Lendf.Me被盗虽然有了一个侥幸的结局,但是我们不得不反思,为什么DeFi 项目这么容易被盗?黑客为什么总是喜欢盯着DeFi 搞事情?
1.开发者不重视智能合约的安全性
Compound创始人Leshner在Lendf.Me被盗一事发生后,立即发推特表示:
是的,他所说的直接复制别人智能合约的就是Lendf.Me。
当初Lendf.Me直接分叉了Compound v1的代码,并且没有考虑到太多安全性方面的问题,所以正是Lendf.Me的懒惰,导致了这次事故的发生。
实际上现在主流的DeFi协议都是基于以太坊网络建设的,这意味着以太坊出现过的各种漏洞,都可能在DeFi项目中出现。
比如这次事故中黑客所利用的重入攻击,早在2016年以太坊的The DAO事件中就出现过,当时黑客也是利用了类似的漏洞进行了重入攻击,导致了The DAO上价值约6千万美元的以太币被盗,最后还促使以太坊被迫硬分叉,分为以太坊 ETH 和以太经典 ETC 两条链。
血淋淋的教训在前,然而到了2020年,开发者们还是不重视代码和合约的安全。
2.监控系统相当不完善
前面提到,黑客是从4月19日8点58分开始攻击的,到11点32分黑客才搬完所有资产。
差不多2个半小时里,Lendf.Me的技术团队没有一点察觉,一直到12点57分,才陆续关闭了Lendf.Me和USDx合约。
这时候黄花菜都凉了。
由此可见,在黑客面前,Lendf.Me的监控系统几乎就是个摆设,根本无法及时预警系统资产出现的异常情况。
你放心把资产交给这样的DeFi团队嘛?
3.黑客攻击收益高
黑客的工作基本都是高风险高收益。
现在不知道有多少黑客盯着DeFi这座金矿,因为在DeFi领域,最常见的就是客户资产托管或借贷理财类的项目,这种业务形态决定了它会囤积大量的用户资产。
再加上代码都是开源的,对比中心化系统,黑客更容易找到系统中的漏洞。
这次事件中,黑客只用了同一个攻击手段,就在短短2个多小时盗走了2500万美金的资产。
并且因为去中心化资产匿名性和流通性更好,出手也方便,黑客攻击成本也相对更低。
所以鉴叔判断,DeFi被盗事件不会就这样消停下来,DeFi黑客提款机的称号也将继续。
这一次Lendf.Me被黑客攻击事件,给DeFi甚至是整个区块链行业都敲响了警钟。
现在区块链行业发展越来越快,区块链安全也越来越重要,开发者在做系统设计和开发的时候,一定要做好安全审计和漏洞排查,还要建立完善的风控体系,这样才能从源头上保证系统的安全性。
对于普通的投资人来说,如今的DeFi还非常稚嫩且脆弱,请谨慎参与。如果一定要玩,优先选择市场稳定性较高(至少平稳运营1年以上),并且有完备的安全审计报告的。
再就是一定要分散资产,不要把所有鸡蛋都放在同一个篮子里。
这个道理,说100遍都不嫌多啊。
动动手指转发这篇文章给身边的朋友,让大家都一定要提高警惕,避免自己的资产损失啊。
爆料 咨询
请添加【鉴叔】私人微信
有事我们私下说
▼
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!