Odaily星球日报译者|余顺遂
DeFi借贷协议Lendf.Me今日遭受攻击。据悉,Lendf.Me是dForce生态系统中的借贷平台,截至发稿时网站已无法访问。DeFiPulse数据显示,过去24小时内,dForce锁仓资产美元价值下跌100%至6美元,而此前的锁仓总价值超过2490万美元。
在dForceTelegram频道,dForce创始人杨民道表示,团队仍在调查这一问题,并建议所有用户停止往借贷协议Lendf.Me存入资产。据报道,Lendf.Me团队证实在北京时间8点45分、区块高度9899681遭受攻击。尽管该攻击的细节尚未透露,但值得注意的是,在1月份,Lendf.Me与imBTC集成。4月18日,imBTC在Uniswap去中心化交易所的流动池被攻击,导致价值约30万美元的代币损失。4月18日下午,Tokenlon发消息称Uniswap上的imBTC池遭到黑客攻击并已耗尽。PeckShield表示,Uniswap此次事件具体攻击方式为:黑客利用Uniswap和ERC777的兼容性问题,在进行ETH-imBTC交易时,利用ERC777中的多次迭代调用tokensToSend来实现重入攻击。这次攻击损失仅限于Uniswap上的ETH-imBTC流动池,其他DeFi协议及BTC托管均未受影响。PeckShield认为,自从年初的bZx攻击事件开始,这又是一起黑客利用DeFi系统性风控漏洞实施的攻击。一些用户在推特猜测Lendf.Me遭遇了类似的攻击,因为交易记录显示,黑客重复调用Lendf.Me的提现功能,以远超过其之前存入该借贷协议的代币数量提取imBTC。据悉,这种攻击手法并不新鲜。2016年,著名的DAO黑客使用类似的机制,导致6000万美元以太币被盗。ConsenSys去年对Uniswap的审计也深入讨论了这一漏洞。慢雾安全团队分析称,Lendf.Me遭受攻击与昨日攻击Uniswap手法类似,极有可能是同一伙人所为。据慢雾科技反系统统计显示,根据攻击者部署的攻击合约从Lendf.Me得到的资产统计来看,累计的损失约24,696,616美元,具体盗取的币种及数额为:WETH:55159.02134,WBTC:9.01152,CHAI:77930.93433,HBTC:320.27714,HUSD:432162.90569,BUSD:480787.88767,PAX:587014.60367,TUSD:459794.38763,USDC:698916.40348,USDT:7180525.081569999,USDx:510868.16067,imBTC:291.3471。之后攻击者不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币。攻击者地址为0xa9bf70a420d364e923c74448d9d817d3f2a77822。慢雾安全团队提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。对此,4月19日,Tokenlon团队发布公告,Tokenlon在今早发现Lendf.Me有大量异常借贷行为,为保障用户资产安全,Tokenlon决定暂时停止Lendf.MeUSDT存币生息功能,其他受影响功能包括imBTC转账功能、imBTC去中心化理财功能。BTC托管不受影响,Tokenlon其他币种交易也不受影响,可正常兑换。数据显示,在遭受攻击前,去年9月推出的Lendf.Me因其锁仓资产价值成为DeFiPulse七大DeFi市场之一。然而,据TheBlock之前报道,借贷协议Compound指控Lendf.Me窃取其版权代码。在TheBlock联系dForce后,Lendf.Me团队在其网站和GitHub页面添加了关于Compound的说明。“Lendf.Me包括以下模块:货币市场合约、利率模型、Oracle、清算人、清算监控、市场仪表板和前端UI&UE。”Lendf.Me强调,该项目的所有代码都是开源的,并且根据MIT许可证获得许可。当时,杨民道表示,Compound此前从未就潜在的版权侵权问题联系过dForce。CompoundCEORobertLeshner也向TheBlock证实,Compound没有联系dForce,并声称他刚刚知道情况。“事实上,我们刚刚得到关于LendF.Me的消息。这对我们来说是新事物,我们正在评估我们的法律选择。”Leshner指出,“所有Compound代码可用于审查、检查和审计,但这并不意味着你可以自由地窃取或重新发布。实际上,我们所有的代码都具有版权,例如'版权所有'。”但是杨民道认为,版权概念与加密货币运动所代表的开源理念相反,真正让加密货币大放异彩的是其开源的优点。“如果Compound真的想将其开放式金融业务转向追求封闭式金融和老派专利垄断,我认为他们将面临一场艰苦的战斗,并且需要为自身的生存而战。”他表示,“使用Compound代码的问题在Lendf.Me开发过程中很早就被提了出来,但由于许多借贷协议已经使用类似的模型,因此没有将其视为严重的问题。当时的评估是,几乎所有的项目都使用相似的模型或几乎相同的模型。就借贷协议而言,市场上没有垄断,货币市场模块本身也不是一个完整的产品。”不过,专家们表示现实情况对于Compound更有利,因为尽管Compound网站称其协议是开源的,但这并不意味着该公司不能对其产生的作品行使所有权要求。4月15日,dForce宣布获得150万美元融资,由MulticoinCapital领投,火币资本和招银国际跟投。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。