Lendf.Me收到了价值1.75亿人民币的“黑客退款”

2020年4月19日，dForce生态里的货币市场Lendf.Me遭遇黑客攻击，导致市值约两千五百万美金的资产从合约里被取出。

具体盗取的币种及数额为：

4月20日凌晨，dForce创始人杨民道于Medium发文表示，北京时间早9:15分左右，他们通过内部监控系统发现了黑客的异常转账行为。

随即暂停了Lendf.Me 和 USDx 合约，并临时关闭网站以对黑客活动进行调查。与此同时，dForce团队在网页端建议所有用户停止往Lendf.Me协议存入资产。

DeFi被盗频发

盗取资产后，Lendf.Me攻击者正持续不断将攻击获利的近58.7万枚PAX，通过1inch.exchange、ParaSwap、Tokenlon等DEX平台兑换成ETH，PAX攻击者地址为0xa9bf70a420d364e923c74448d9d817d3f2a77822。

2019 年 9 月，dForce 首个由社区开发者主导开发的去中心化借贷协议 Lendf.Me 正式发布。

据其官网介绍，Lendf.Me 是基于全球资金池模式的去中心化货币市场，可以为用户提供灵活、便捷的理财和贷款服务 。

针对借贷方：值得注意的是，用户通过 Lendf.Me 进行 USDx 存款不收取任何费用；申请 USDx 贷款只需要承担 0.05% 的一次性手续费。

那么，黑客又是如何对其攻击的呢？

此次黑客攻击主要是利用imBTC资产ERC777标准的漏洞进行了重入攻击，这也是之前Uniswap被盗的原因。

由于 DeFi 合约缺少重入攻击保护，导致攻击者利用 ERC777 中的多次迭代调用 tokensToSend 方法函数来实现重入攻击，极有可能是同一伙人所为。

从今年年初的bZx攻击事件再到Uniswap和dForce的攻击事件，说明黑客已经掌握了DeFi系统性风控漏洞的要害，充分利用DeFi的可组合性对DeFi接二连三地实施攻击。

随着 DeFi 赛道的脱颖而出和备受关注，黑客也早早开始研究相关产品的漏洞。

可是DeFi还处于发展初期，DeFi 产品的风控设计、价格预言机的资金量、智能合约的安全审计等均有待加强，总体来说目前DeFi的项目质量参差不齐。

据 PeckShield（派盾）统计，2019 年共发生 7 起典型的 DeFi 攻击事件，在刚刚过去的 2 月，又发生了 4 起 DeFi 安全事件，DeFi 安全问题已日趋凸显。

神转折

其实dForce团队追回这笔损失的可能性微乎其微，神转折却突然出现。

据链上信息显示，攻击者于4月20日凌晨3点左右，向Lendf.Me的admin账户转回了38万枚HUSD和320枚HBTC。

更早之前，攻击者还转回了12.6万枚PAX，并附言“Better future”。

于是在事故发生的第三天也就是4月21日，一笔1.75亿人民币的超级巨款，居然在被盗之后如数归还，此举可谓在“黑客史”上史无前例。

之所以选择第一时间还币，最有可能的是黑客本人的真实身份已经被dForce所掌握，通过dForce的沟通和谈判，从而追回了全部损失。

在此次事件中，dForce创始人杨民道始终一直努力在寻求妥善的解决方案，包括：1. 与顶尖安全团队合作，对Lendf.Me进行更为全面的安全评估；2. 与合作伙伴积极探讨可行的解决方案。

虽然我们遭遇了攻击，但我们不会就此被打倒。3. 与主流交易所、OTC交易商、公安机构积极配合展开相关调查，竭尽全力追索被盗款项，追踪黑客动态。

积极正面应对被盗事件的dForce，没有放弃任何希望，这体现了平台本身的责任感和业内的影响力。

可是DeFi被盗事件频发，说明DeFi存在重大漏洞，这将为整个DeFi行业敲响警钟。对于金融资产来说，安全永远是最重要的，DeFi领域也不是例外。

下一次，我们不会再如此幸运地碰上这么一个“有个性”的黑客了。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。