4月18日上午,Uniswap平臺遭受重入攻擊後,隔天去中心化借貸平臺Lendf.Me同樣遭受攻擊,且兩次攻擊手法極為類似,推斷為同一團體或個人所為。
最後,Uniswap預計損失30萬~110萬美元,Lendf.me借貸平臺預計損失約2500萬美元的資金。
但是!令人震驚的事情發生了。
黑客在2天內把錢還給了Lendf.Me(此處心疼Uniswap)。4月20日先是退還了279萬美金,再是4月21日退還剩餘的2200萬美金。
攻擊一天,收拾爛攤子(還錢)兩天,3天白忙活。
此次攻擊,黑客利用ERC-777標準與其他平臺的兼容性問題,在進行ETH-imBTC交易時連續利用智能合約提取資金,執行重入攻擊,反覆覆蓋自己的資金餘額,從而實現可提現資金的不斷翻倍,循環套利。
不得不說,DeFi安全問題一直被詬病。由於其開放性:一是對用戶的開放性,二是合約間的開放性,所以 DeFi 只要有一個模塊出了問題,就可能拖垮整個生態,因此極易成為黑客的攻擊目標。
Compound 創始人 Leshner 在 Lendf.Me 被盜一事發生後,發推特表示:希望開發者和用戶能從 lendf.Me 事件中吸取教訓。
在成功盜取2500萬美金後,由於這類非法手段獲得的加密貨幣(俗稱“黑錢”),很難直接地“安全”使用。為了躲過追蹤,黑客會藉助交易所和OTC交易商的力量,通過複雜的交易手段來完成“洗錢”。然而,在黑客使用1inch.exchange.com來交換一定比例的資金的過程中,卻意外留下了重要的元數據。正是這些元數據洩露了黑客的重要信息,比如IP地址、他們所使用的Mac電腦的系統語言設置為英語等。
此外,Lendf.me平臺使用的內容交付網絡CDN也進一步幫助了調查人員,這也給了黑客更大的壓力。
最後,黑客不得不退還這筆錢(2500萬美金在轉換交易過程中價值略微下降,降至2430美金)。
加密貨幣交易的高價值使其一直以來都是網絡攻擊的重點目標,但在黑客攻擊事件中,類似Lendf.me事件的結果卻很罕見,只能說是意外的好結局。但這次攻擊事件也給了我們一些思考:
1、管理員可以採取更強有力的安全措施,比如嘗試將盡可能多的錢/貨幣放入與互聯網斷開的冷錢包中。
2、交易所和OTC交易商可以做好客戶信息的合理蒐集和保存、地址監控和資金流動監測,從而及時發現非法資金流動並上報,最大程度地挽回損失。
3、監管機構可以串聯攻擊者盜取加密貨幣後的行為邏輯,多方面多渠道蒐集信息,還原資金流向。