作者:Apatheticco
北京時間8點45分,DeFi貸款協議Lendf.Me在區塊高度9899681遭受攻擊,目前技術團隊已經定位問題,並在網頁端建議所有使用者停止往借貸協議存入資產。
Lendf.Me是去中心化金融和貨幣協議平臺dForce去年9月上線的首個社羣專案。DeFi Pulse資料顯示,dForce鎖倉資產在幾個小時內跌落57%。目前平臺上多個資金的利用率高達99%,imBTC的資金利用率則為100%。鏈上資料顯示,攻擊者已將資產轉入Compound和 Aave平臺。
據慢霧科技反洗錢(AML)系統監測顯示,今日中午,Lendf.Me攻擊者 0xa9bf70a420d364e923c74448d9d817d3f2a77822 正持續不斷將攻擊獲利的 PAX 轉出兌換 ETH,使用的兌換平臺包括 1inch.exchange、ParaSwap 等,總額近 58.7 萬枚 PAX。
該團隊的分析還發現,此次攻擊與昨日攻擊Uniswap手法類似,極有可能是同一夥人所為。
4月18日下午,Tokenlon DEX今日在推特上稱,Uniswap上imBTC池今日遭到攻擊並已耗盡。Tokenlon隨即暫停imBTC轉移。據安全機構PeckShield分析,Uniswap在攻擊中損失了1,278個ETH,價值約22萬美元,此外還有大約18.37個 imBTC被0x3195c3和0x17559a開頭的兩個套利者以較低的價格獲取。
據分析,駭客利用Uniswap和ERC777的相容性問題,在進行 ETH-imBTC 交易時,利用ERC777中的多次迭代呼叫tokensToSend來實現重入攻擊。這次攻擊損失僅限於 Uniswap 上的ETH-imBTC 流動池,其他 DeFi 協議及 BTC 託管均未受影響。PeckShield 認為,自從年初的bZx攻擊事件開始,這又是一起駭客利用DeFi系統性風控漏洞實施的攻擊。
不過很快,Tokenlon 全面恢復 imBTC 合約轉賬及交易功能,但在此期間建議使用者先暫停使用Uniswap的 ETH-imBTC 流動池。
Lendf.Me被攻擊後,Tokenlon今日也宣佈,暫時下架Lendf.Me。
目前,DefiPulse資料顯示,dForce鎖倉總價值已歸零,造成的損失或達到約2500萬美元。DeFi社羣也在積極關注此事,但認為追回全部損失難度較大。鎖定駭客談判以儘量挽回損失,可能是目前唯一的辦法。
針對此次攻擊,有社羣成員提出質疑,imBTC作為資產發行方,在沒有確認其他DeFi合作伙伴是否都安全的情況下,就重新開通imBTC的合約轉賬功能,是否存在一定過失。
對此,imBTC的發行方imToken創始人何斌迴應稱,昨天 uniswap 池出問題後,我們第一時間暫停合約,聯絡合作伙伴自查。在下午5點多得到官方明確後,imBTC在6點重新恢復的。社羣也對此表示認同。
此次事件對於DeFi生態來說無疑是有一次巨大的衝擊,接連遭到攻擊也不僅讓人想到2018年到2019年的Dapp。Code is law是區塊鏈極客們的信仰,是去中心化最靚麗的標籤,但接連暴露出的安全問題,也的確急需行業去妥善解決。道路是困難的,但前景一定是光明,希望DeFi能在每一次傷痛中成長,最終成為真正成熟的開放金融。
