本文來自The Block等,原文作者:Celia Wan
Odaily星球日報譯者 | 餘順遂
DeFi 借貸協議 Lendf.Me 今日遭受攻擊。據悉,Lendf.Me 是 dForce 生態系統中的借貸平臺,截至發稿時網站已無法訪問。
DeFi Pulse 數據顯示,過去 24 小時內,dForce 鎖倉資產美元價值下跌 100% 至 6 美元,而此前的鎖倉總價值超過 2490 萬美元。
在 dForce Telegram 頻道,dForce 創始人楊民道表示,團隊仍在調查這一問題,並建議所有用戶停止往借貸協議 Lendf.Me 存入資產。據報道,Lendf.Me 團隊證實在北京時間 8 點 45 分、區塊高度 9899681 遭受攻擊。
儘管該攻擊的細節尚未透露,但值得注意的是,在 1 月份,Lendf.Me 與 imBTC(一種與 BTC 掛鉤的以太坊代幣)集成。4 月 18 日,imBTC 在 Uniswap 去中心化交易所的流動池被攻擊,導致價值約 30 萬美元的代幣損失。
4 月 18 日下午,Tokenlon 發消息稱 Uniswap 上的 imBTC 池遭到黑客攻擊並已耗盡。PeckShield 表示,Uniswap 此次事件具體攻擊方式為:黑客利用 Uniswap 和 ERC777 的兼容性問題,在進行 ETH-imBTC 交易時,利用 ERC777 中的多次迭代調用 tokensToSend 來實現重入攻擊。這次攻擊損失僅限於 Uniswap 上的 ETH-imBTC 流動池,其他 DeFi 協議及 BTC 託管均未受影響。PeckShield 認為,自從年初的 bZx 攻擊事件開始,這又是一起黑客利用 DeFi 系統性風控漏洞實施的攻擊。目前 Tokenlon 已全面恢復 imBTC 合約轉賬及交易功能,不過在此期間建議用戶先暫停使用 Uniswap 的 ETH-imBTC 流動池。
慢霧安全團隊分析發現,Lendf.Me 遭受攻擊與昨日攻擊 Uniswap 手法類似,極有可能是同一夥人所為。據慢霧科技反洗錢(AML)系統統計顯示,根據攻擊者部署的攻擊合約(0x538359785a……759D91D)從 Lendf.Me 得到的資產統計來看,累計的損失約 24,696,616 美元,具體盜取的幣種及數額為:WETH: 55159.02134, WBTC: 9.01152, CHAI: 77930.93433, HBTC: 320.27714, HUSD: 432162.90569, BUSD: 480787.88767, PAX: 587014.60367, TUSD: 459794.38763, USDC: 698916.40348, USDT: 7180525.081569999, USDx: 510868.16067, imBTC: 291.3471。之後攻擊者不斷通過 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平臺將盜取的幣兌換成 ETH 及其他代幣。慢霧安全團隊提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
據悉,這種攻擊手法並不新鮮。2016 年,著名的 DAO 黑客使用類似的機制,導致 6000 萬美元以太幣被盜。ConsenSys 去年對 Uniswap 的審計也深入討論了這一漏洞。
對此,4 月 19 日,Tokenlon 團隊發佈 公告,Tokenlon 在今早發現 Lendf.Me 有大量異常借貸行為,為保障用戶資產安全,Tokenlon 決定暫時停止 Lendf.Me USDT 存幣生息功能,其他受影響功能包括 imBTC 轉賬功能、imBTC 去中心化理財功能。BTC 託管不受影響,Tokenlon 其他幣種交易也不受影響,可正常兌換。
數據顯示,在遭受攻擊前,去年 9 月推出的 Lendf.Me 因其鎖倉資產價值成為 DeFi Pulse 七大 DeFi 市場之一。然而,據 The Block 之前報道,借貸協議 Compound 指控 Lendf.Me 竊取其版權代碼。在 The Block 聯繫 dForce 後,Lendf.Me 團隊其網站和 GitHub 頁面添加了關於 Compound 的說明。“Lendf.Me 包括以下模塊:貨幣市場合約(基於 Compound V1)、利率模型、Oracle、清算人、清算監控、市場儀表板和前端 UI & UE。”Lendf.Me 強調,該項目的所有代碼(除非另有說明)都是開源的,並且根據 MIT 許可證獲得許可。
當時,楊民道表示, Compound 此前從未就潛在的版權侵權問題聯繫過 dForce 。Compound CEO Robert Leshner 也向 The Block 證實,Compound 沒有聯繫 dForce,並聲稱他剛剛知道情況。“事實上,我們剛剛得到關於 LendF.Me 的消息。這對我們來說是新事物,我們正在評估我們的法律選擇。” Leshner 指出,“所有 Compound 代碼可用於審查、檢查和審計,但這並不意味著你可以自由地竊取或重新發布。實際上,我們所有的代碼都具有版權,例如'版權所有(rights reserved)'。”
但是楊民道認為,版權概念與加密貨幣運動所代表的開源理念相反。“使用 Compound 代碼的問題在 Lendf.Me 開發過程中很早就被提了出來,但由於許多借貸協議已經使用類似的模型,因此沒有將其視為嚴重的問題。當時的評估是,幾乎所有的項目都使用相似的模型或幾乎相同的模型。就借貸協議而言,市場上沒有壟斷,貨幣市場模塊本身也不是一個完整的產品。”不過,專家們表示現實情況對於 Compound 更有利,因為儘管 Compound 網站稱其協議是開源的,但這並不意味著該公司不能對其產生的作品行使所有權要求。
4 月 15 日,dForce 宣佈獲得 150 萬美元融資,由 Multicoin Capital 領投,火幣資本(Huobi Capital)和招銀國際(CMBI)跟投。
