信息來源:Freebuf
4月18日上午,Uniswap平臺(tái)遭受重入攻擊后�����,隔天去中心化借貸平臺(tái)Lendf.Me同樣遭受攻擊�����,且兩次攻擊手法極為類似�����,推斷為同一團(tuán)體或個(gè)人所為����。
最后��,Uniswap預(yù)計(jì)損失30萬~110萬美元����,Lendf.me借貸平臺(tái)預(yù)計(jì)損失約2500萬美元的資金。
但是���!令人震驚的事情發(fā)生了��。
黑客在2天內(nèi)把錢還給了Lendf.Me(此處心疼Uniswap)����。4月20日先是退還了279萬美金���,再是4月21日退還剩余的2200萬美金����。
攻擊一天�����,收拾爛攤子(還錢)兩天�,3天白忙活。
此次攻擊����,黑客利用ERC-777標(biāo)準(zhǔn)與其他平臺(tái)的兼容性問題,在進(jìn)行ETH-imBTC交易時(shí)連續(xù)利用智能合約提取資金���,執(zhí)行重入攻擊��,反復(fù)覆蓋自己的資金余額�����,從而實(shí)現(xiàn)可提現(xiàn)資金的不斷翻倍���,循環(huán)套利��。
不得不說����,DeFi安全問題一直被詬病��。由于其開放性:一是對(duì)用戶的開放性�����,二是合約間的開放性����,所以 DeFi 只要有一個(gè)模塊出了問題,就可能拖垮整個(gè)生態(tài)��,因此極易成為黑客的攻擊目標(biāo)����。
Compound 創(chuàng)始人 Leshner 在 Lendf.Me 被盜一事發(fā)生后���,發(fā)推特表示:希望開發(fā)者和用戶能從 lendf.Me 事件中吸取教訓(xùn)�。
在成功盜取2500萬美金后,由于這類非法手段獲得的加密貨幣(俗稱“黑錢”)���,很難直接地“安全”使用����。為了躲過追蹤�,黑客會(huì)借助交易所和OTC交易商的力量,通過復(fù)雜的交易手段來完成“洗錢”����。然而,在黑客使用1inch.exchange.com來交換一定比例的資金的過程中�,卻意外留下了重要的元數(shù)據(jù)。正是這些元數(shù)據(jù)泄露了黑客的重要信息�����,比如IP地址�����、他們所使用的Mac電腦的系統(tǒng)語言設(shè)置為英語等。
此外�����,Lendf.me平臺(tái)使用的內(nèi)容交付網(wǎng)絡(luò)CDN也進(jìn)一步幫助了調(diào)查人員��,這也給了黑客更大的壓力�����。
最后���,黑客不得不退還這筆錢(2500萬美金在轉(zhuǎn)換交易過程中價(jià)值略微下降����,降至2430萬美金)��。
加密貨幣交易的高價(jià)值使其一直以來都是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)����,但在黑客攻擊事件中,類似Lendf.me事件的結(jié)果卻很罕見,只能說是意外的好結(jié)局����。但這次攻擊事件也給了我們一些思考:
1、管理員可以采取更強(qiáng)有力的安全措施��,比如嘗試將盡可能多的錢/貨幣放入與互聯(lián)網(wǎng)斷開的冷錢包中����。
2、交易所和OTC交易商可以做好客戶信息的合理搜集和保存�����、地址監(jiān)控和資金流動(dòng)監(jiān)測��,從而及時(shí)發(fā)現(xiàn)非法資金流動(dòng)并上報(bào)�,最大程度地挽回?fù)p失����。
3、監(jiān)管機(jī)構(gòu)可以串聯(lián)攻擊者盜取加密貨幣后的行為邏輯�����,多方面多渠道搜集信息,還原資金流向���。
