この記事の由来はThe Blockなど、原作者:セリア・ワン
日常翻訳者 |
日常翻訳者 |
過去 24 時間で、dForce でロックされた資産のドル価値は 100% 下落して 6 ドルになり、一方、以前にロックされたポジションの合計価値は 2,490 万ドルを超えたことを示しています。
dForce Telegram チャンネルで、dForce 創設者のヤン・ミンダオ氏は、チームはまだこの問題を調査中であるとし、すべてのユーザーが貸付契約 Lendf.Me への資産の預け入れをやめるように勧告していると述べた。報道によると、Lendf.Meチームは北京時間8時45分にブロック高さ9899681で攻撃を受けたことを確認したという。
攻撃の詳細は明らかにされていないが、1月にLendf.MeがBTCに固定されたイーサリアムトークンであるimBTCと統合されたことは注目に値する。 4月18日、Uniswap分散型取引所のimBTCの流動性プールが攻撃され、約30万ドル相当のトークンが損失した。
4月18日午後、TokenlonはUniswap上のimBTCプールがハッキングされ枯渇したというメッセージを送信した。 PeckShieldによると、このインシデントにおけるUniswapの具体的な攻撃方法は次のとおりです:ハッカーはUniswapとERC777の間の互換性の問題を利用し、ERC777で複数の反復を使用してtokensToSendを呼び出し、ETH-imBTCトランザクションを実行する際にリエントリー攻撃を実行します。この攻撃による損失はUniswap上のETH-imBTC流動性プールに限定されており、他のDeFiプロトコルやBTCの保管には影響はなかった。 PeckShield は、今年初めの bZx 攻撃以来、これも DeFi のシステムリスク制御の脆弱性を利用してハッカーによって実行された別の攻撃であると考えています。一部のユーザーTwitter上でLendf.Me も同様の攻撃を受けたと思われます。取引記録これは、ハッカーが繰り返し Lendf.Me の出金機能を呼び出し、以前に貸付契約に預けたトークンの量をはるかに超えて imBTC を出金したことを示しています。この攻撃手法は新しいものではないと報告されています。 2016 年、有名な DAO ハッカーが同様のメカニズムを使用し、6,000 万ドルのイーサの盗難につながりました。昨年のUniswapに対するConsenSysの監査
この脆弱性についても詳しく説明します。SlowMist セキュリティ チームの分析によると、Lendf.Me に対する攻撃は昨日の Uniswap に対する攻撃と類似しており、同じグループによって行われた可能性が非常に高いです。SlowMist Technology のマネーロンダリング対策 (AML) システムの統計によると、
これに関して、4 月 19 日に Tokenlon チームは次のリリースを発表しました。発表発表
, Tokenlonは今朝、Lendf.Meで異常な融資行為が多数発生していることを発見しました。ユーザー資産の安全を確保するため、TokenlonはLendf.MeのUSDT入金と金利機能を一時停止することを決定しました。影響を受ける他の機能には、imBTC転送機能とimBTCが含まれます」分散型財務管理機能。 BTC の保管は影響を受けず、他の通貨での Tokenlon 取引も影響を受けず、通常どおり交換できます。データによると、攻撃前、昨年9月に立ち上げられたLendf.Meは、ロックされた資産の価値により、DeFi Pulseの7つのDeFi市場の1つとなっていた。ただし、によると、ザ・ブロックが以前報じた
、融資プロトコルCompoundは、著作権で保護されたコードを盗んだとしてLendf.Meを告発しました。 The Block が dForce に連絡した後、Lendf.Me チームは Compound に関するメモを Web サイトと GitHub ページに追加しました。 「Lendf.Me には次のモジュールが含まれています: マネーマーケット契約 (Compound V1 に基づく)、金利モデル、オラクル、清算人、清算監視、市場ダッシュボード、フロントエンド UI および UE。」 Lendf.Me は、プロジェクトは (特に明記されていない限り) オープンソースであり、MIT ライセンスに基づいてライセンスされています。
当時、ヤン・ミンダオ氏は、コンパウンドがこれまでに著作権侵害の可能性についてdForceに連絡したことはないと述べた。 CompoundのCEOであるRobert LeshnerもThe Blockに対し、CompoundがdForceに連絡を取っていないことを確認し、状況を知ったのは今だと主張した。 「実際、LendF.Me についての情報を入手したところです。これは私たちにとって初めてのことであり、法的選択肢を検討しているところです。すべての Compound コードはレビュー、検査、監査に利用できますが、それだけではありません」と Leshner 氏は述べました。自由に盗用したり再配布したりできるという意味ではありません。実際、私たちのコードはすべて著作権で保護されています (たとえば、「著作権留保」されています)。
しかし、ヤン・ミンダオ氏は、著作権の概念は仮想通貨運動に代表されるオープンソースの概念に反しており、仮想通貨を本当に輝かせるのはオープンソースの利点であると信じている。 「コンパウンドが本気でオープンファイナンス事業をクローズドファイナンスと昔ながらの特許独占の追求に軸足を移したいのであれば、厳しい戦いに直面することになると思いますし、生き残るために戦う必要があるでしょう。」
同氏は、「複合コードの使用の問題は、Lendf.Me 開発プロセスの初期段階で提起されましたが、多くの融資プロトコルがすでに同様のモデルを使用しているため、深刻な問題とは考えられていませんでした。当時の評価は、ほぼすべてのプロジェクトで次のとおりでした」と述べました。 「同様のモデル、またはほぼ同じモデルを使用しています。融資プロトコルに関する限り、市場には独占はなく、マネーマーケットモジュール自体は完全な製品ではありません。」 しかし、専門家は、現実はより好ましいと述べています。 Compound の場合、Compound の Web サイトではプロトコルがオープンソースであると述べていますが、それは同社が制作した作品に対して所有権の主張を強制できないという意味ではないからです。
