Bài viết này đến từThe BlockV.v., tác giả gốc: Celia Wan

Người phiên dịch Odaily |

Người phiên dịch Odaily |

Giao thức cho vay DeFi Lendf.Me đã bị tấn công hôm nay. Được biết, Lendf.Me là một nền tảng cho vay trong hệ sinh thái dForce.Dữ liệu DeFi Pulse

Nó cho thấy rằng trong 24 giờ qua, giá trị đô la của tài sản bị khóa dForce đã giảm 100% xuống còn 6 đô la Mỹ, trong khi tổng giá trị của các vị trí bị khóa trước đó vượt quá 24,9 triệu đô la Mỹ.

Trong kênh Telegram của dForce, người sáng lập dForce Yang Mindao cho biết nhóm vẫn đang điều tra vấn đề này và khuyến nghị tất cả người dùng ngừng ký gửi tài sản vào thỏa thuận cho vay Lendf.Me. Theo báo cáo, nhóm Lendf.Me xác nhận rằng họ đã bị tấn công ở độ cao khối 9899681 lúc 8:45 giờ Bắc Kinh.

Mặc dù các chi tiết của cuộc tấn công chưa được tiết lộ, nhưng điều đáng chú ý là vào tháng 1, Lendf.Me đã tích hợp với imBTC, một mã thông báo Ethereum được chốt bằng BTC. Vào ngày 18 tháng 4, nhóm thanh khoản của imBTC trên sàn giao dịch phi tập trung Uniswap đã bị tấn công, dẫn đến việc mất các mã thông báo trị giá khoảng 300.000 đô la.

Vào chiều ngày 18 tháng 4, Tokenlon đã gửi một thông báo nói rằng nhóm imBTC trên Uniswap đã bị hack và đã cạn kiệt. Theo PeckShield, phương thức tấn công cụ thể của Uniswap trong sự cố này là: Tin tặc lợi dụng vấn đề tương thích giữa Uniswap và ERC777, đồng thời sử dụng nhiều lần lặp trong ERC777 để gọi tokenToSend nhằm thực hiện các cuộc tấn công vào lại khi thực hiện các giao dịch ETH-imBTC. Tổn thất của cuộc tấn công này chỉ giới hạn ở nhóm thanh khoản ETH-imBTC trên Uniswap và các giao thức DeFi khác cũng như quyền lưu ký BTC không bị ảnh hưởng. PeckShield tin rằng kể từ cuộc tấn công bZx vào đầu năm, đây là một cuộc tấn công khác được thực hiện bởi tin tặc sử dụng các lỗ hổng kiểm soát rủi ro hệ thống DeFi.một số người dùngtrên TwitterĐoán Lendf.Me bị tấn công tương tự vìGhi lại giao dịchNó cho thấy rằng tin tặc đã liên tục gọi chức năng rút tiền của Lendf.Me để rút imBTC vượt xa số lượng mã thông báo mà anh ta đã gửi trước đó trong thỏa thuận cho vay. Được biết, phương pháp tấn công này không phải là mới. Vào năm 2016, hacker DAO nổi tiếng đã sử dụng một cơ chế tương tự, dẫn đến việc đánh cắp 60 triệu đô la ether.ConsenSys kiểm tra Uniswap vào năm ngoái

Lỗ hổng này cũng được thảo luận sâu.Theo phân tích của nhóm bảo mật SlowMist, cuộc tấn công vào Lendf.Me tương tự như cuộc tấn công vào Uniswap ngày hôm qua và rất có thể nó được thực hiện bởi cùng một nhóm.Theo thống kê từ hệ thống phòng chống rửa tiền (AML) của SlowMist Technology,

Về vấn đề này, vào ngày 19 tháng 4, nhóm Tokenlon đã phát hànhthông báothông báo

, Tokenlon đã phát hiện ra rằng Lendf.Me có một số lượng lớn các hành vi cho vay bất thường vào sáng nay. Để đảm bảo an toàn cho tài sản của người dùng, Tokenlon đã quyết định tạm thời đình chỉ chức năng gửi và lãi Lendf.Me USDT. Các chức năng bị ảnh hưởng khác bao gồm chức năng chuyển imBTC và imBTC phân cấp chức năng quản lý tài chính. Việc lưu ký BTC không bị ảnh hưởng và các giao dịch Tokenlon bằng các loại tiền tệ khác cũng không bị ảnh hưởng và có thể được trao đổi bình thường.Theo dữ liệu, trước cuộc tấn công, Lendf.Me, được ra mắt vào tháng 9 năm ngoái, đã trở thành một trong bảy thị trường DeFi của DeFi Pulse vì giá trị của tài sản bị khóa. Tuy nhiên, theoBáo cáo trước đây của The Block

, giao thức cho vay Compound đã cáo buộc Lendf.Me ăn cắp mã có bản quyền của nó. Sau khi The Block liên hệ với dForce, nhóm Lendf.Me đã thêm ghi chú về Hợp chất vào trang web và trang GitHub của họ. "Lendf.Me bao gồm các mô-đun sau: hợp đồng thị trường tiền tệ (dựa trên Hợp chất V1), mô hình lãi suất, Nhà tiên tri, người thanh lý, giám sát thanh lý, bảng điều khiển thị trường và giao diện người dùng & UE giao diện người dùng." Lendf.Me nhấn mạnh rằng tất cả các mã của Lendf.Me project (trừ khi có quy định khác) là nguồn mở và được cấp phép theo giấy phép MIT.

Vào thời điểm đó, Yang Mindao cho biết Compound trước đây chưa bao giờ liên hệ với dForce về khả năng vi phạm bản quyền. Giám đốc điều hành Compound Robert Leshner cũng xác nhận với The Block rằng Compound đã không liên lạc với dForce, tuyên bố rằng anh ta vừa được biết về tình hình. "Trên thực tế, chúng tôi vừa nhận được thông tin về LendF.Me. Nó mới đối với chúng tôi và chúng tôi đang đánh giá các lựa chọn pháp lý của mình," Leshner lưu ý. "Tất cả mã Hợp chất đều có sẵn để xem xét, kiểm tra và kiểm tra, nhưng điều đó không Không có nghĩa là bạn được tự do ăn cắp hoặc phân phối lại. Trên thực tế, tất cả mã của chúng tôi đều có bản quyền, ví dụ: 'quyền được bảo lưu'."

Nhưng Yang Mindao tin rằng khái niệm bản quyền trái ngược với khái niệm nguồn mở được đại diện bởi phong trào tiền điện tử và điều thực sự làm cho tiền điện tử tỏa sáng là lợi thế nguồn mở của nó. “Nếu Compound thực sự muốn xoay chuyển hoạt động kinh doanh tài chính mở của họ sang việc theo đuổi tài chính đóng và độc quyền bằng sáng chế trường học cũ, tôi nghĩ rằng họ sẽ phải đối mặt với một trận chiến khó khăn và cần phải chiến đấu để sinh tồn.”

Anh ấy nói, "Vấn đề sử dụng mã Compound đã được nêu ra sớm trong quá trình phát triển Lendf.Me, nhưng nó không được coi là một vấn đề nghiêm trọng vì nhiều giao thức cho vay đã sử dụng một mô hình tương tự. Đánh giá vào thời điểm đó là, Hầu như tất cả các dự án sử dụng một mô hình tương tự hoặc gần như cùng một mô hình. Về giao thức cho vay, không có độc quyền trên thị trường và bản thân mô-đun thị trường tiền tệ không phải là một sản phẩm hoàn chỉnh." Tuy nhiên, các chuyên gia cho rằng thực tế thuận lợi hơn đối với Hợp chất, Bởi vì mặc dù trang web Hợp chất cho biết giao thức của nó là nguồn mở, nhưng điều đó không có nghĩa là công ty không thể thực thi các xác nhận quyền sở hữu đối với các tác phẩm mà nó tạo ra.