이 기사는The Block기타, 원작자: Celia Wan
오데일리 번역기 |
오데일리 번역기 |
지난 24시간 동안 dForce 잠금 자산의 달러 가치는 100% 하락한 6달러였으며 이전 잠금 위치의 총 가치는 2490만 달러를 초과했습니다.
dForce Telegram 채널에서 dForce 설립자 Yang Mindao는 팀이 여전히 이 문제를 조사하고 있으며 모든 사용자가 대출 계약 Lendf.Me에 자산을 입금하는 것을 중단할 것을 권장한다고 말했습니다. 보고서에 따르면 Lendf.Me 팀은 베이징 시간으로 8시 45분에 블록 높이 9899681에서 공격을 받은 것을 확인했습니다.
공격의 세부 사항은 공개되지 않았지만, 1월에 Lendf.Me가 BTC에 고정된 이더리움 토큰인 imBTC와 통합되었다는 점은 주목할 가치가 있습니다. 4월 18일 Uniswap 탈중앙화 거래소에 있는 imBTC의 유동성 풀이 공격을 받아 약 $300,000 상당의 토큰이 손실되었습니다.
4월 18일 오후, Tokenlon은 Uniswap의 imBTC 풀이 해킹되어 소진되었다는 메시지를 보냈습니다. PeckShield에 따르면 이 사건에서 Uniswap의 구체적인 공격 방법은 다음과 같습니다. 해커는 Uniswap과 ERC777 간의 호환성 문제를 이용하고 ERC777에서 여러 반복을 사용하여 ETH-imBTC 거래를 수행할 때 재진입 공격을 달성하기 위해 tokensToSend를 호출합니다. 이 공격의 손실은 Uniswap의 ETH-imBTC 유동성 풀로 제한되었으며 다른 DeFi 프로토콜 및 BTC 보관은 영향을 받지 않았습니다. PeckShield는 올해 초 bZx 공격 이후 해커가 DeFi 시스템 위험 제어 취약점을 사용하여 수행하는 또 다른 공격이라고 생각합니다.일부 사용자트위터에서추측 Lendf.Me는 다음과 같은 이유로 비슷한 공격을 받았습니다.거래기록해커가 Lendf.Me의 출금 기능을 반복적으로 호출하여 기존에 대출 계약에 예치한 토큰의 양을 훨씬 초과하여 imBTC를 출금한 것으로 보입니다. 이 공격 방식은 새로운 것이 아닌 것으로 알려졌다. 2016년 유명한 DAO 해커는 유사한 메커니즘을 사용하여 6천만 달러 상당의 이더를 훔쳤습니다.지난해 Uniswap에 대한 ConsenSys 감사
이 취약점에 대해서도 자세히 설명합니다.SlowMist 보안팀의 분석에 따르면 Lendf.Me에 대한 공격은 어제 Uniswap에 대한 공격과 유사하며, 동일한 그룹에 의해 행해졌을 가능성이 매우 높습니다.SlowMist Technology의 AML(Anti-Money Laundering) 시스템 통계에 따르면,
이와 관련하여 4월 19일 Tokenlon 팀은발표발표
, Tokenlon은 오늘 아침 Lendf.Me에서 비정상적인 대출 행위가 다수 발생했음을 발견했습니다.사용자 자산의 안전을 보장하기 위해 Tokenlon은 Lendf.Me USDT 입금 및 이자 기능을 일시적으로 중단하기로 결정했습니다.영향을 받는 다른 기능에는 imBTC 전송 기능과 imBTC가 있습니다. 분산된 재무 관리 기능. BTC 커스터디는 영향을 받지 않으며, 다른 통화의 Tokenlon 거래도 영향을 받지 않으며 정상적으로 교환이 가능합니다.데이터에 따르면 공격 전 지난해 9월 출시된 Lendf.Me는 잠긴 자산의 가치 때문에 디파이 펄스의 7개 디파이 시장 중 하나가 됐다. 그러나 에 따르면이전에 The Block에서 보도한 내용
, 대출 프로토콜인 Compound는 Lendf.Me가 저작권이 있는 코드를 훔쳤다고 비난했습니다. The Block이 dForce에 연락한 후 Lendf.Me 팀은 웹사이트와 GitHub 페이지에 Compound에 대한 메모를 추가했습니다. "Lendf.Me에는 다음 모듈이 포함되어 있습니다: 머니 마켓 계약(Compound V1 기반), 금리 모델, 오라클, 청산인, 청산 모니터링, 시장 대시보드 및 프런트 엔드 UI & UE." Lendf.Me는 모든 코드가 프로젝트(달리 명시되지 않는 한)는 오픈 소스이며 MIT 라이선스에 따라 라이선스가 부여됩니다.
당시 Yang Mindao는 Compound가 잠재적인 저작권 침해에 대해 이전에 dForce에 연락한 적이 없다고 말했습니다. 컴파운드의 CEO인 로버트 레슈너(Robert Leshner)는 또한 컴파운드가 dForce에 연락하지 않았으며 방금 상황을 알게 되었다고 주장하면서 The Block에 확인했습니다. Leshner는 "사실 LendF.Me에 대한 소식을 방금 들었습니다. 그것은 우리에게 새로운 것이고 우리는 법적 옵션을 평가하고 있습니다. 모든 복합 코드는 검토, 검사 및 감사에 사용할 수 있지만 그렇지 않습니다. 훔치거나 재배포할 수 있다는 의미는 아닙니다. 사실 우리의 모든 코드는 '권리 보유'와 같이 저작권이 있습니다."
그러나 Yang Mindao는 저작권의 개념이 암호화폐 운동으로 대표되는 오픈 소스 개념과 상반되며 암호화폐를 진정으로 빛나게 하는 것은 오픈 소스의 장점이라고 생각합니다. "컴파운드가 진정으로 개방형 금융 사업을 폐쇄형 금융과 구식 특허 독점을 추구하는 방향으로 전환하고 싶다면 힘겨운 싸움에 직면하게 될 것이며 생존을 위해 싸워야 할 것입니다."
그는 “컴파운드 코드 사용 문제는 Lendf.Me 개발 초기에 제기됐지만, 이미 많은 렌딩 프로토콜이 비슷한 모델을 사용하고 있어 심각한 문제로 여겨지지 않았다. 당시 평가는, 거의 모든 프로젝트가 유사한 모델 또는 거의 동일한 모델을 사용하십시오. 대출 프로토콜에 관한 한 시장에 독점이 없으며 머니 마켓 모듈 자체가 완전한 제품이 아닙니다. " 그러나 전문가들은 현실이 더 유리하다고 전문가들은 말합니다. Compound의 경우, Compound 웹사이트에는 프로토콜이 오픈 소스라고 나와 있지만 그렇다고 회사가 생산하는 작업에 대한 소유권 주장을 강요할 수 없다는 의미는 아닙니다.
