中国去中心化金融协议平台 dForce 在 4 月 19 日遭遇骇客发起“重入漏洞攻击”,导致 2,500 万美元的资产被窃取,也导致 Lendf.Me 借贷平台下线。dForce 在这起攻击事件中损失超过 99% 的资产。对此,dForce 创办人杨民道发出声明,表示已经掌握部分有关骇客的讯息,会向社群进一步说明解释,同时请求用户不要在 Lendf.Me 平台上放置任何资产。
Lendf.me 是在昨(19)日发现价值约 2,500 万美元的以太币与比特币从钱包中被提领,此前,其资金市场池遭到攻击。Lendf 是 dForce 基金会支持的两项协议之一。
Lendf.me 并已证实,“北京时间 19 日早上 8 时 45 分于区块高度 9899681,遭到骇客攻击”。杨民道在声明中表示,
北京时间早 9 点 15 分左右,我们通过内部监控系统发现了骇客的异常转账行为。随即我们暂停了 Lendf.Me 和 USDx 合约,并临时关闭网站以对骇客活动进行调查。现在调查仍在进行中,我们已经掌握了部分有关骇客的信息,目前来看骇客已经停止攻击。
声明指出,此次骇客攻击主要是利用 imBTC 资产 ERC777 标准的漏洞进行了重入攻击,也就是骇客反复将伪造的 imBTC 作为抵押品,借出款项。由于 imBTC 是与比特币一对一挂勾的以太坊代币,被用于当作抵押品,骇客利害虚假的 imBTC 进行抵押,因此可几乎是在免费的情况下提领资金。
令人摸不着头绪的一点是,昨晚有消息传出,慢雾安全团队从链上数据监测到,Lendf.Me 攻击者向 Lendf.Me 平台管理员账户转账归还 126,014 枚 PAX 稳定币,并附言“Better future”。
杨民道也在声明中指出,截至发稿时间,“骇客试图联系我们,我们也表达了沟通的意愿”。
这次攻击是瞄准以太坊 ERC-777 代币标准的漏洞而发动。这一漏洞近期也曾被骇客用来从去中心化交易所 Uniswap 中含有 imBTC 的智慧合约中提取总额超过 30 万美元的比特币。imBTC 也是一种以 ERC-777 规格为基础的代币,由 DEX TokenIon 所运作。
当时 Tokenlon 在回应攻击事件时,表示这次攻击损失仅止于 Uniswap 上的 imBTC 池,受托管的比特币没有受到影响,同时暂时暂停 imBTC 的转账,并考虑下个因应行动。
杨民道透过声明对这次事件发表道歉,表示会尽全力改善目前状况,并且将在今晚 11 时 59 分前向社群进一步解释说明。
这次 dForce 遭受毁灭性攻击的不到一周前,加密货币创投业者 Multicoin Capital 才刚宣布率领 150 万美元种子轮融资投资 DForce。Multicoin Capital 主管 Mable Jiang 当时表示,dForce 正在打造去中心化金融的第一个超级网络去中心化协议,他还将这项计划比拟为亚洲超级 App,即微信和支付宝。
依照锁住的资产计算,在还未遭受骇客攻击前,dForce 从去年 9 月推出的 Lendf.Me 平台已成长为第七大的去中心化协议。
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
