继 Uniswap 后,Lendf.Me又成“黑客提款机” 2500万美元被盗_BTC:LEND

4月19日国产DeFi借贷协议Lendf.Me被曝遭受黑客利用imBTC的ERC777合约漏洞攻击。此次攻击造成的损失大约2500万美元,而追回损失的可能微乎其微。昨日,在dForce团队还未追踪到攻击者,攻击者却先有动作,归还38万枚HUSD、320枚HBTC和12.6万枚PAX,并留言“下次好运”。

DMG宣布从比特大陆购入2450台ASIC矿机:区块链及加密货币技术公司DMG Blockchain Solutions宣布从比特大陆(Bitmain)购入2450台比特币ASIC矿机,预计将在2021年8月底前安装完成。届时,将为DMG的比特币挖矿能力增加约245 PH/s。但考虑到宏观因素,包括但不限于运输物流和海关处理,这些矿机交付给DMG的设施可能发生变化。一旦完全安装和运行,DMG估计这些矿机将有9个月的投资回收期。DMG目前持有大约260个比特币。这些新购买的矿机,一旦完全运行,预计每月将为其增加约50个比特币。(雅虎财经)[2021/7/15 0:54:53]

在Lendf.me遭到攻击的前一天,也就是4月18日,imBTC在Uniswap去中心化交易所的流动池被攻击,导致价值约30万美元的代币损失。而Uniswap和Lendf.me的相似之处在于,这两个平台都在使用:Lendf.me协议、imBTC和ERC-777。其中,imBTC是imToken推出的以太坊区块链上的BTC代币,ERC777是在ERC20基础上推出的代币标准,兼容ERC20,并在ERC20的基础上增加了一些新的特性。imBTC本身并没有安全问题。但ERC-777代币与Lendf.Me合约组合,就会产生重入攻击漏洞。

Gemini联合创始人:建议有意投资加密货币的人先从比特币开始:Gemini联合创始人Cameron Winklevoss发推称,想要投资加密货币的人经常会问先买哪一个。我总是说从比特币开始。它是历史最悠久、流动性最强、久经考验的加密货币,还有一个显而易见的估值框架(数字黄金)。它是蓝筹股(Blue Chip)。还有其他伟大的项目,但这是一个起点。

注:蓝筹股(Blue Chip)是指长期稳定增长的、大型的、传统工业股及金融股。[2020/8/15]

正是如此,黑客才能利用漏洞,在Lendf.Me上重复铸造出了6700多枚假的imBTC,并以此为抵押,将Lendf.Me上的资产洗劫一空,并立即不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币,还将其余部分赃款转入了借贷平台Compound和Aave。

黑客利用恶意软件Glupteba从比特币区块链中获取秘密消息:Sophos Labs研究人员发现第一起利用比特币的区块链与指挥控制(C&C)中心通信的劫持代码案件。“比特币的‘交易’实际上并不一定是关于钱的—它们可以包括名为RETURN(也称为OP_RETURN)的字段,这实际上是一个长达80个字符的备注。”这正是黑客在这种情况下所做的事情(如图所示),返回的是一条加密的秘密消息,需要256位AES解密密钥,该密钥被编码到Glupteba恶意软件程序中。

Sophos研究人员已经进行解密,显示一个域地址,这个地址就是隐藏在人们视线中的指挥和控制中心。他们表示,“这种‘隐藏在明处’的方式通常被称为隐写术。”目前还不清楚让黑客知道是否是好的,因为现在他们可以把它放在图像中。(Trustnodes)[2020/6/26]

截至目前,虽然攻击者归还了部分,但依旧杯水车薪,同时其安全性受到业内同行的严重质疑。

在Lendf.Me被戏称为“黑客提款机”的同时,也有很多DeFi拥护者认为,这只是DeFi的“休斯顿时刻”,是在探索深水区不可避免的困难和挑战,如果没有DeFi开发者和用户的努力和牺牲,怎么能迎来拥有安全高效开放金融应用的未来?但无论如何,目前发展阶段所暴露的安全问题,都在提醒DeFi选择更审慎的推进之路。

文章部分素材来源于网络

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-3:113ms