本文来自The Block等,原文作者:Celia Wan
Odaily星球日报译者 | 余顺遂
DeFi 借贷协议 Lendf.Me 今日遭受攻击。据悉,Lendf.Me 是 dForce 生态系统中的借贷平台,截至发稿时网站已无法访问。
DeFi Pulse 数据显示,过去 24 小时内,dForce 锁仓资产美元价值下跌 100% 至 6 美元,而此前的锁仓总价值超过 2490 万美元。
在 dForce Telegram 频道,dForce 创始人杨民道表示,团队仍在调查这一问题,并建议所有用户停止往借贷协议 Lendf.Me 存入资产。据报道,Lendf.Me 团队证实在北京时间 8 点 45 分、区块高度 9899681 遭受攻击。
尽管该攻击的细节尚未透露,但值得注意的是,在 1 月份,Lendf.Me 与 imBTC(一种与 BTC 挂钩的以太坊代币)集成。4 月 18 日,imBTC 在 Uniswap 去中心化交易所的流动池被攻击,导致价值约 30 万美元的代币损失。
4 月 18 日下午,Tokenlon 发消息称 Uniswap 上的 imBTC 池遭到黑客攻击并已耗尽。PeckShield 表示,Uniswap 此次事件具体攻击方式为:黑客利用 Uniswap 和 ERC777 的兼容性问题,在进行 ETH-imBTC 交易时,利用 ERC777 中的多次迭代调用 tokensToSend 来实现重入攻击。这次攻击损失仅限于 Uniswap 上的 ETH-imBTC 流动池,其他 DeFi 协议及 BTC 托管均未受影响。PeckShield 认为,自从年初的 bZx 攻击事件开始,这又是一起黑客利用 DeFi 系统性风控漏洞实施的攻击。
一些用户在推特猜测 Lendf.Me 遭遇了类似的攻击,因为交易记录显示,黑客重复调用 Lendf.Me 的提现功能,以远超过其之前存入该借贷协议的代币数量提取 imBTC。据悉,这种攻击手法并不新鲜。2016 年,著名的 DAO 黑客使用类似的机制,导致 6000 万美元以太币被盗。ConsenSys 去年对 Uniswap 的审计也深入讨论了这一漏洞。
慢雾安全团队分析称,Lendf.Me 遭受攻击与昨日攻击 Uniswap 手法类似,极有可能是同一伙人所为。据慢雾科技反洗钱(AML)系统统计显示,根据攻击者部署的攻击合约(0x538359785a……759D91D)从 Lendf.Me 得到的资产统计来看,累计的损失约 24,696,616 美元,具体盗取的币种及数额为:WETH: 55159.02134, WBTC: 9.01152, CHAI: 77930.93433, HBTC: 320.27714, HUSD: 432162.90569, BUSD: 480787.88767, PAX: 587014.60367, TUSD: 459794.38763, USDC: 698916.40348, USDT: 7180525.081569999, USDx: 510868.16067, imBTC: 291.3471。之后攻击者不断通过 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币。攻击者地址为 0xa9bf70a420d364e923c74448d9d817d3f2a77822。慢雾安全团队提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
对此,4 月 19 日,Tokenlon 团队发布 公告,Tokenlon 在今早发现 Lendf.Me 有大量异常借贷行为,为保障用户资产安全,Tokenlon 决定暂时停止 Lendf.Me USDT 存币生息功能,其他受影响功能包括 imBTC 转账功能、imBTC 去中心化理财功能。BTC 托管不受影响,Tokenlon 其他币种交易也不受影响,可正常兑换。
数据显示,在遭受攻击前,去年 9 月推出的 Lendf.Me 因其锁仓资产价值成为 DeFi Pulse 七大 DeFi 市场之一。然而,据 The Block 之前报道,借贷协议 Compound 指控 Lendf.Me 窃取其版权代码。在 The Block 联系 dForce 后,Lendf.Me 团队在其网站和 GitHub 页面添加了关于 Compound 的说明。“Lendf.Me 包括以下模块:货币市场合约(基于 Compound V1)、利率模型、Oracle、清算人、清算监控、市场仪表板和前端 UI UE。”Lendf.Me 强调,该项目的所有代码(除非另有说明)都是开源的,并且根据 MIT 许可证获得许可。
当时,杨民道表示, Compound 此前从未就潜在的版权侵权问题联系过 dForce 。Compound CEO Robert Leshner 也向 The Block 证实,Compound 没有联系 dForce,并声称他刚刚知道情况。“事实上,我们刚刚得到关于 LendF.Me 的消息。这对我们来说是新事物,我们正在评估我们的法律选择。” Leshner 指出,“所有 Compound 代码可用于审查、检查和审计,但这并不意味着你可以自由地窃取或重新发布。实际上,我们所有的代码都具有版权,例如版权所有(rights reserved)。”
但是杨民道认为,版权概念与加密货币运动所代表的开源理念相反,真正让加密货币大放异彩的是其开源的优点。“如果 Compound 真的想将其开放式金融业务转向追求封闭式金融和老派专利垄断,我认为他们将面临一场艰苦的战斗,并且需要为自身的生存而战。”
他表示,“使用 Compound 代码的问题在 Lendf.Me 开发过程中很早就被提了出来,但由于许多借贷协议已经使用类似的模型,因此没有将其视为严重的问题。当时的评估是,几乎所有的项目都使用相似的模型或几乎相同的模型。就借贷协议而言,市场上没有垄断,货币市场模块本身也不是一个完整的产品。”不过,专家们表示现实情况对于 Compound 更有利,因为尽管 Compound 网站称其协议是开源的,但这并不意味着该公司不能对其产生的作品行使所有权要求。
4 月 15 日,dForce 宣布获得 150 万美元融资,由 Multicoin Capital 领投,火币资本(Huobi Capital)和招银国际(CMBI)跟投。
