撰文:LeftOfCenter
來源:鏈聞
作者特別感謝慢霧科技創始人余弦對本文的幫助。
對于DeFi投資者來說,這是一個不平靜的周末。知名的DeFi貸款協議?Lendf.Me?平臺上價值近2500萬美元的資產被黑客洗劫一空,不過是個把小時的事情。
大約是在北京時間4月19日周日早上9點多,DeBank的徐勇在微信群中截圖提示,Lendf.Me平臺上的資金利用率顯示異常。當時,該平臺上幾乎所有可借資產都出現極高的借出率,多個資產的利用率已經高達99%,imBTC的資金利用率則為100%。DeFiPulse的數據也顯示,Lendf.Me平臺鎖倉資產迅速跌落。
很快,Tokenlon發布公告宣布暫停imBTC交易。
Lendf.Me團隊隨后證實,北京時間8點45分,在區塊高度9899681遭受黑客攻擊。該團隊表示,已經關停網站并展開調查,技術團隊已經定位問題,并在網頁端建議所有用戶停止往借貸協議存入資產。
至此,黑客已將Lendf.Me平臺上的用戶存儲資產全部掏空。鏈上數據顯示,被攻擊后,Lendf鎖倉資產美元價值瞬間下跌100%至6美元,而此前的鎖倉總價值超過?2490萬美元。鏈上觀測發現,攻擊者不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的資產兌換成?ETH及其他代幣。
據區塊鏈安全公司慢霧科技當時發布的統計,Lendf.Me被攻擊累計的損失約24,696,616美元,具體盜取的幣種及數額為:
WETH:55159.02134,
WBTC:9.01152,
CHAI:77930.93433,
HBTC:320.27714,
HUSD:432162.90569,
BUSD:480787.88767,
PAX:587014.60367,
TUSD:459794.38763,
USDC:698916.40348,
USDT:7180525.08156,
Line Next與游戲巨頭世嘉簽署諒解備忘錄:金色財經報道,游戲巨頭世嘉(SEGA)已與 Line Next 簽署諒解備忘錄,擬通過 IP 許可將世嘉旗下游戲引入 Line Next 的區塊鏈游戲平臺 Game Dosi。Line Next 是韓國即時通訊應用巨頭 LINE 下屬機構,主要開發基于 NFT 的游戲系統,新協議下 Line Next 將獲得世嘉的游戲 IP 和 Web3 游戲開發許可,同時還會在 Game Dosi 上支持相關游戲的 NFT 制作、數字支付和營銷活動。上周,世嘉宣布退出區塊鏈游戲,轉而以來第三方平臺,而 Line Next 將扮演其第三方鏈游服務提供商角色。(Venturebeat)[2023/7/10 10:12:51]
USDx:510868.16067,
imBTC:291.3471
此時,我們很容易聯想到前不久發生閃貸攻擊的bzx,那一次攻擊也是發生在1月的某個周六,先后兩次攻擊共盜走了90萬美金。當時,很多DeFi愛好者突然意識到,蒸蒸日上的DeFi并不是想象中的那么安全。
到了周日晚間,事情又發生了一些戲劇化變化,黑客開始向Lendf.Me返還部分資產。
鏈上信息顯示,攻擊者向Lendf.Me平臺admin賬戶陸續轉回12.6萬枚PAX、38萬枚HUSD和320枚HBTC,并附言「Betterfuture」。這些資產屬于合規的中心化資產,對于黑客來說,無法兌現,竟然退還了。
這一動作也在稍后團隊發布的官方聲明中得到了證實。Lendf.Me平臺的發起方dForce的創始人楊民道在之后發表的一篇文章中稱,「黑客試圖與我們聯系,而我們也打算與他們進行討論」。Lendf.Me平臺的admin賬戶通過memo對攻擊者進行了回應。楊民道稱,正與交易所和執法機構合作追查黑客,全力搶救被盜資金。
與此同時,Lendf.Me平臺的多位受害者紛紛通過轉賬向黑客留言,求對方返還自己的血汗錢。至此,此次黑客盜竊已演變成一次大型群體事件。
FTX.US前總裁:ETF的關鍵問題是BTC的受監管市場和重大規模的定義是什么:金色財經報道,FTX.US前總裁Brett Harrison在社交媒體上對外匯ETF的操作和監管與最近的現貨BTC ETF提案進行了比較。Harrison稱,有許多ETF追蹤外國貨幣的價格。這些ETF的結構通常是直接持有相關外匯的信托。其中一個例子是FXY,與BTC一樣,大多數即期外匯交易不受監管,尤其是在美國,市場監管權既不屬于SEC也不屬于CFTC的管轄范圍。雖然CFTC不監管外匯,但它對資產具有某些反欺詐權力,類似于它對現貨商品的權力,這些權力在2010年在當時的主席Gensler的領導下得到加強,以解決他所謂的最大的領域CFTC監管的零售欺詐。在SEC多次拒絕現貨BTC ETF提議中,主要理由是缺乏與標的資產或參考資產相關的具有顯著規模的受監管市場的監督共享協議。
許多人指出,貝萊德最近的現貨BTC ETF申請明確提到了與納斯達克就與現有現貨加密貨幣交易所運營商的監控共享協議進行合作的計劃。一個關鍵問題是BTC的受監管市場和重大規模的定義是什么,特別是當與外匯相似時,現貨商品交易通常不受SEC或CFTC監管。[2023/6/20 21:48:31]
團隊同時還公布了后續解決該事件的幾個措施,包括:1.聯系了頂級安全公司,對Lendf.Me進行更全面的安全性評估;2.與合作伙伴一起制訂解決方案,對系統進行資本重組,「雖然我們遭遇了攻擊,但不會就此被打倒」;3.正在與主流交易所、場外交易商和執法機構合作,調查該情況,扣留被盜資金并追查黑客。
截止目前,調查及被盜資金截斷工作正在進行。
還原攻擊過程
目前已知的情況是,攻擊者利用了imBTC采用的ERC-777標準的一個「漏洞」,執行「重入攻擊」,導致市值約2500萬美金的資產從?Lendf.Me合約里被取出。
慢霧對此次攻擊事件的細節進行了詳細還原:對Lendf.Me實施攻擊的攻擊者地址為0xa9bf70a420d364e923c74448d9d817d3f2a77822,此次攻擊者通過部署合約0x538359785a8d5ab1a741a0ba94f26a800759d91d?實現。
通過查看Etherscan上其中一筆交易發現:
大銀行正在競購陷入困境的第一共和銀行:金色財經報道,一位知情人士告訴CNN,美國聯邦存款保險公司正在拍賣陷入困境的地區銀行第一共和銀行。最終競標將于美國東部時間周日下午4點截止(北京時間凌晨4點)。有關第一共和銀行買家的決定似乎可能會在周日晚些時候宣布。《華爾街日報》此前曾報道稱,摩根大通和PNC Financial等大型銀行可能參與競購第一共和銀行,美國聯邦存款保險公司將接管這家陷入困境的地區性銀行。[2023/5/1 14:36:34]
攻擊者首先是存入了0.00021593枚imBTC,但是卻從Lendf.Me中成功提現了0.00043188枚imBTC,也就是說,提現的數量幾乎是存入數量的翻倍。
那么攻擊者是如何從短短的一筆交易中拿到翻倍的余額的呢?接下來,慢霧對一筆交易中的每一個動作進行了深入分析:
攻擊者對Lendf.Me進行了兩次?supply()?函數的調用,但是這兩次調用都是獨立的,并不是在前一筆?supply()?函數中再次調用?supply()?函數;
緊接著,在第二次?supply()?函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的?withdraw()?函數發起調用,最終提現;
攻擊者的?withdraw()?調用是發生在?transferFrom?函數中,也就是在Lendf.Me通過?transferFrom?調用用戶的?tokensToSend()?鉤子函數的時候調用的。很明顯,攻擊者通過?supply()?函數重入了Lendf.Me合約,造成了重入攻擊。
如果說以上的技術細節對于小白來說不那么容易理解,那么,可以通過以下這個類比來通俗地理解何為重入攻擊:
假設甲是現實生活中的一名詐騙犯,他來到銀行柜臺前對柜員乙表示需要取出自己賬戶里的所有錢。
柜員乙查詢了甲的賬戶金額,將金額記賬到了「待取款的臨時賬戶」里。不過,還沒等柜員乙從「待取款的臨時賬戶」里把錢取出來并更新甲的賬戶金額及重置甲的「待取款的臨時賬戶」,甲已經不見蹤影;
甲以光速來到了另一個分行,向該分行的柜員丙表示需要取錢,柜員丙又執行了一遍之前柜員乙的操作:查詢了甲的賬戶金額,將金額再次記賬到了「待取款的臨時賬戶」里,從「待取款的臨時賬戶」里把錢取出來并更新甲的賬戶金額及重置甲的「待取款的臨時賬戶」;
債權人會議稱FTX擁有超過10億美元的現金:金色財經報道,FTX高管在周二的程序性聽證會上表示,該公司已確定有超過10億美元的資產。該公司將約7.2億美元的現金資產存放在美國司法部授權持有資金的美國金融機構中,交易所尚未對這些資產進行整合。另有近5億美元已經存放在美國金融機構。
FTX的新任首席財務官Mary Cilia在破產程序中表示,大約有1.3億美元的現金被鎖在日本。另外600萬美元被用于支付工資等運營費用,其余4.23億美元在未經授權的美國機構中,大部分主要在一個經紀商處,但她拒絕透露該經紀商的身份。(coindesk)[2022/12/21 21:57:35]
最終這導致甲取了自己金額兩倍的錢,如此往復,直到將該銀行的所有資金掏空為止。
在?Lendf.Me黑客事件中,
甲對應的是
黑客,而
銀行則是?
Lendf.Me?。
禍從何處來?
這是DeFi領域中一次標志性的黑客事件,引發了業內廣泛討論,范圍不僅僅局限于被黑金額和項目本身,更是涉及了安全的重要性、開放金融的意義、社區的包容性乃至中西區塊鏈社區的誤解和偏見。
首先,2500萬美金是一筆數目不小的損失,它可能是平臺上普通用戶的所有積蓄。對于這些DeFi領域的早期探索者而言,對中心化平臺持懷疑態度讓他們投向了開放金融的懷抱,這次這個沉重的代價無疑是一記重拳,打擊了他們對DeFi的信心。
而對于項目方來說,這有可能意味著重頭再來。Lendf.Me作為DeFi領頭羊之一,是從中國發起的明星區塊鏈項目和冉冉升起的潛力之星,2019年9月啟動到目前僅半年時間,在開放金融借貸市場占有一席之地,并已發展成為最大的法幣穩定幣借貸協議。在被攻擊事件發生之前,其資產規模接近3000萬美元,并有近1000萬美元的未償還貸款。就在幾天前,Lendf.Me才獲得來自MulticoinCapital、火幣資本和招銀國際的150萬美金戰略投資。
dForce的創始人楊民道在聲明中也表示,其個人也在本次黑客攻擊中遭到了嚴重的經濟損失。
更糟糕的是,除了直接受害者,此次事件帶來的間接傷害可能更大。今年2月,DeFi才剛剛迎來里程碑事件,同時作為以太坊重要的真實用例,這可能會對以太坊甚至整個公鏈的失去信心。
灰度比特幣信托(GBTC)負溢價擴大至35%:金色財經消息,據YCharts數據,在美國證券交易委員會(SEC)拒絕其現貨比特幣ETF申請后,灰度比特幣信托(GBTC)負溢價一度擴大至35%。與此同時,比特幣的價格繼續下跌,目前跌至19,000美元左右。灰度是全球最大的加密資產管理公司,其比特幣信托的管理資產規模近129億美元,GBTC現在的交易價格僅為每股12.28美元(0.00064BTC)。[2022/7/1 1:43:16]
針對此次攻擊,有社區成員認為,平臺方具有不可推卸的責任。Lendf.Me本身作為運營方,對界面端的合約安全性審核不足,導致事故發生。對此,團隊表示,已經聯系了頂級安全公司,對Lendf.Me進行更全面的安全性評估,預計團隊后續會在這個方面有所加強。
也有另一種聲音則認為,?imBTC的資產發行方Tokenlon負有一定責任,在前一晚Uniswap發生事故關停?imBTC的合約轉賬后,又重新開通了imBTC的合約轉賬功能,給了黑客可乘之機。
不過,Tokenlon透露的信息則表示,在4月18日17:00?重啟?imBTC的轉賬功能之前,曾經與?Lendf.Me及其他imBTC合作平臺溝通,并得到Lendf.Me及其他合作平臺確認安全風險評估沒問題后,才重啟轉賬功能的。
imBTC是與BTC1:1錨定的ERC-777代幣,由Tokenlon負責發行和監管,imBTC采用ERC-777代幣標準規范。
出于安全上的考慮,很多投資者紛紛開始清查哪些平臺涉及ERC-777標準的代幣,一時之間對ERC-777標準聞之色變。
也有人為協議標準喊冤,認為協議本身沒問題,只是開發者在使用時沒有考慮到其中存在的兼容性問題。
比如,有開發者認為,ERC20之于ERC777,就如同比特幣之于以太坊,ERC20雖然更加安全,但功能具有局限性。
誕生于2015年的ERC20標準,功能非常簡單,因此也很受歡迎。但對于一個試圖創建「可編程貨幣」的系統來說,ERC20代幣標準的功能非常有限,其局限性導致了以太坊的許多用戶體驗問題。
ERC777標準可以看作是ERC20標準的升級版,作為一種新的代幣標準,它向后兼容ERC20,并增加了一些新的功能,這些功能包括數據字段、運算符,配合合約錢包還可拒絕不想要的代幣等功能。
但ERC777可解決的最大問題是,通過添加「鉤子」,提供以太坊代幣之外的代幣支付功能,這可實現在Uniswap中將Dai轉換為ETH的交易只需一步即可完成。
對于不熟悉ERC20代幣標準的同學,這里可以做個簡單科普:由于ERC20代幣標準沒有「支付功能」,在進行代幣交易時需要進行多筆交易,比如如果使用Uniswap將ETH轉換為Dai,基本上發送ETH即可獲得Dai,但如果是相反,將Dai轉換為ETH,則需要先進行一筆交易對Dai進行批準,之后才可以置換成ETH。
這個問題的原因在于,ERC20標準沒有「支付功能」,這讓合約在收到ETH時可以執行代碼,但是在收到ETH之外的其他代幣時則無法執行代碼。而ERC777通過添加「鉤子」解決了這個問題,讓Dai轉換為ETH的交易一步即可完成。
但ERC777標準最大的問題是,調用「鉤子」函數會導致安全問題。最近imBTC/Uniswap發生的兩起安全事故就是黑客利用了ERC777標準導致的重入攻擊,讓攻擊者可提現余額變多,直到掏空平臺所有資產。
不過,重入攻擊并不是什么新鮮事物。2017年那起導致以太坊分家的「TheDAO事件」就是由可重入攻擊引起的。對于開發者而言,新鮮事物可能是,重入攻擊也會對ETH之外的代幣產生影響,而此前,開發者了解的可能是:ETH轉移很容易受到重入攻擊,但其他代幣轉移則是安全的。
此次事件更引發了對DeFi整個生態系統的反思。
被成為貨幣樂高的DeFi具有可組合和互操作性的特點,這給我們帶來了無數的可能性。但硬幣的另一面也是的DeFi的最大問題:作為一個復雜系統,DeFi的風險也會被無限放大,系統的安全性取決于最短的那塊木板,樂高積木中只要有一個模塊出了問題,整個系統就會被拖垮。這就是經典的木桶原理。
為此,安全團隊慢霧給出的防御性建議之一是:「在對多個合約進行對接的時候需要對多方合約進行代碼安全和業務安全的把關,全面考慮各種業務場景相結合下的安全問題。」
再反思???
那些出于對安全隱患的擔憂,從中心化平臺轉向DeFi的早期探索者們,赫然發現,去中心化上的安全問題似乎更大。
尤其在近一年以來,DeFi領域已經頻頻發生多起事故。
2019年6月,Synthetix?受到預言機攻擊,損失超過?3700萬sETH合成代幣。
今年1月,bZx?先后遭到兩次攻擊,損失達?90萬美金;
今年3月,新晉DeFi明星項目?iearn.finance?提供的Zap智能合約因未檢查滑點導致穩定幣交易平臺Curve出現一筆異常交易,后通過人為干預使得損失者幾乎未遭受損失,但其創始人AndreCronje稱無法承受社交壓力,將讓該項目自運營。
3月12日發生的黑天鵝事件導致部分清算人以價格為0的出價贏得以太坊抵押品清算程序的拍賣,導致?MakerDAO?出現近?500萬美元抵押不足的未償債務,導致多名抵押者在市場拋售期間損失了所有抵押品。
Lendf.Me黑客事件發生的前一天,黑客利用?Uniswap?的ERC777兼容性問題,盜走價值超?30萬美元的imBTC。
顯然,Lendf.Me發生的這起事故不是第一起,也不會是最后一起。
此次黑客事件為整個行業敲響警鐘,倒逼各個項目開始審查自己項目的安全的漏洞。
Lendf.Me事件發生后的一天,利用聯合曲線進行做市的去中心化穩定幣交易平臺?Curve公布自己的sUSD資金池合約存在漏洞,稱「所有的漏洞已經解決,資金安全,無損失發生」。Curve請用戶提回資金,并等候新合約部署,新合約的改變將進行審計。
到目前為止,已有兼容ERC-777標準的平臺開始采取行動。以太坊「無損彩票」平臺?PoolTogether?宣布已移除ERC-777標準的代幣plDai,之前這是為第三方的開發人員提供的小型資金池,僅涉及約480個plDai。不過慢霧創始人余弦則表示,「拿掉?plDai?也不是徹底解決方案,他們自己的代碼也往ERC-777去兼容實現,所以自己的代碼還得加強。」
另一支區塊鏈安全團隊PeckShield?則提出了一個有效的解決方案,建議開發者采用?「Checks-Effects-Interactions」方法來防止這類重入攻擊。舉個例子,Lendf.Me的supply()?里如果是先更新token余額,再調用?doTransferIn()?。這將會讓攻擊在?withdraw()?之后沒有重置余額的可能性。
這是一次極好的總結和反思機會,讓項目和用戶本身開始審視安全的重要性。長遠來說,這有利于整個行業的發展。
對于項目方來說,未來最重要的是防微杜漸,以「如何最大限度保障平臺資金的安全」/為此,慢霧提出了一系列防御建議:
在關鍵的業務操作方法中加入鎖機制,如:OpenZeppelin的?ReentrancyGuard;
開發合約的時候采用先更改本合約的變量,再進行外部調用的編寫風格
項目上線前請優秀的第三方安全團隊進行全面的安全審計,盡可能的發現潛在的安全問題
多個合約進行對接的時候也需要對多方合約進行代碼安全和業務安全的把關,全面考慮各種業務場景相結合下的安全問題
合約盡可能的設置暫停開關,在出現「黑天鵝」事件的時候能夠及時發現并止損
安全是動態的,各個項目方也需要及時捕獲可能與自身項目相關的威脅情報,及時排查潛在的安全風險
防微杜漸還意味著,
一旦真的發生安全問題該如何補救。回答這個問題十分重要,因為它給用戶加入并繼續留存在DeFi帶來信心。
用戶層面上,每一次攻擊事件都會讓用戶對DeFi的信心減少數分,如果沒有預先的應對措施,用戶就會對DeFi失去信心。而對于DeFi來說,信心很重要,沒有信心,DeFi就沒有未來。
體量巨大的中心化交易所尚有補救措施,出現資產丟失的情況下,一般都會由資金雄厚的中心化機構賠償用戶的損失,并設置有保險池。去中心化金融的補救措施該如何進行呢?去中心化保險還是聯合兜底?在沒有中心化機構背書的情況下,本質上是尋求一種公地治理的有效機制。
和其他行業不同,DeFi作為一個開放、無需允許的公共金融領域,具有牽一發動全身的整體性,一個項目的損失,也不再是項目本身的損失,它會消弱其他DeFi參與者的信心。作為公鏈目前唯一有用的敘事,這樣的悲劇事件,甚至可能會影響競品甚至整個行業發展。
這個時候因為競爭關系出現的攻訐、挑釁、甚至民族主義言論則更顯得諷刺。事發之后,無論中國DeFi社區還是Lendf.Me本身的社區成員,都給了Lendf.Me滿滿的支持和信任。至此,無論是損失者、用戶、項目方、DeFi、以太坊和區塊鏈儼然已成為了一個命運共同體。
參考:
慢霧對Lendf.Me攻擊事件詳細細節還原
技術詳解ERC777:?
白話重放攻擊?:
對于以太坊生態系統來說,去中心化金融已成為其最有前途的經營項目之一。在一個金融和科技似乎經常重疊的世界里,將金融與去中心化的區塊鏈的巨大優勢結合起來,可以徹底改變生態系統的現狀.
1900/1/1 0:00:0018個月前以來,新加坡的初創公司Dltledgers通過其區塊鏈平臺處理了超過33億美元的貿易融資。Dltledger的核心解決方案是供應鏈可追溯性區塊鏈,可鏈接到銀行、運輸公司以及保險公司.
1900/1/1 0:00:00重要要點: 比特幣在地緣動蕩期間表現良好,這導致BTC朝著與股票相反的方向發展的說法。上個月,比特幣與股票之間的關聯度創下歷史新高,引起許多人質疑比特幣的“黃金2.0”說法.
1900/1/1 0:00:00Overview概述 本文將以衍生品出發,概述數字金融資產市場的未來趨勢。 Report報告 行業總結 盡管加密市場繼續停滯不前,2017年不斷推高的加密貨幣市場上出現了成千上萬的現金掠奪和欺詐.
1900/1/1 0:00:00編者注:原標題為《穩定幣的啟發-構建新型借貸緩沖模型》。本文作了不改變作者原意的刪減。去中心化穩定幣似乎存在矛盾:雖然其目標是打造非監管資產,但它們也只能通過添加不相關資產來實現完全穩定.
1900/1/1 0:00:00作者:王也 編者注:原標題為《DeFi課堂|DeFi清算人是如何工作的?》由Conflux×Odaily星球日報聯合出品,星球日報資深記者@王也擔任主筆.
1900/1/1 0:00:00