Lendf.Me遭黑客攻擊損失約2470萬美元，DeFi為何安全問題頻發

王也

2020-04-19 08:15

本文约2712字，阅读全文需要约11分钟

目前dForce團隊正在定位被攻擊原因，並在網頁端建議所有用戶停止往Lendf.Me協議存入資產。

“DeFi平台不作惡，奈何扛不住黑客太多。”

繼4月18日Uniswap被黑客攻擊損失1278枚ETH（價值約22萬美元）之後，4月19日上午8點45分，國產DeFi借貸協議Lendf.Me被曝遭受黑客攻擊，據慢霧科技反洗錢(AML)系統統計顯示，此次Lendf.Me累計損失約2470萬美元，具體盜取的幣種及數額為：

圖片描述

圖片來源於：Defipulse

據慢霧科技反洗錢（AML）系統監測顯示，Lendf.Me攻擊者正持續不斷將攻擊獲利的PAX轉出兌換ETH，總額近58.7萬枚PAX，使用的兌換平台包括1inch.exchange、ParaSwap等。攻擊者地址為0xa9bf70a420d364e923c74448d9d817d3f2a77822。

據慢霧安全團隊分析發現，黑客此次攻擊Lendf.Me的手法與昨日攻擊Uniswap手法類似重入攻擊重入攻擊重入攻擊），均由於DeFi 合約缺少重入攻擊保護，導致攻擊者利用ERC777 中的多次迭代調用tokensToSend 方法函數來實現重入攻擊，極有可能是同一夥人所為。

慢霧安全團隊詳細分析了此次Lendf.Me攻擊的全過程：

攻擊者首先是存入了0.00021593 枚imBTC，但是卻從Lendf.Me 中成功提現了0.00043188 枚imBTC，提現的數量幾乎是存入數量的翻倍。

正文

圖片描述

緊接著，在第二次supply() 函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me 的withdraw() 函數發起調用，最終提現。

正文

圖片來源於：twitter

二級標題

從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件，說明黑客已經掌握了DeFi系統性風控漏洞的要害，充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。

DDEX 運營負責人Bowen Wang曾在Odaily舉辦的「生機」雲峰會上反思bZx事件的影響，“樂高的概念是因為所有積木都是樂高一家生產的，質量非常好。但是DeFi很多的部件質量參差不齊。像發生在bZx 上的事情說明了一點，當你不是非常了解地基的時候，你越建越高反而越危險。”

用木桶理論來解釋DeFi樂高的最大問題，DeFi系統的安全性取決於最短的那塊木板，所以DeFi樂高中只要有一個模塊出了問題，可能就會拖垮整個生態。這就需要DeFi開發者們在代碼層面不斷作出改進和更新，不要一位地追求DeFi產品的高組合性，同時也應該注重不同DeFi產品在安全上的可匹配性。

二級標題

4月20日凌晨，dForce創始人楊民道於Medium發文表示，黑客利用ERC 777與DeFi智能合約的兼容問題實現重入攻擊，Lendf.Me損失了大約2500萬美元。目前，團隊正在開展如下行動：

此外，團隊將在北京時間4月20日晚上11:59在官方博客上提供更詳細的更新。

另據鏈上信息顯示，攻擊者於4月20日凌晨3點左右，向Lendf.Me的admin賬戶轉回了38萬枚HUSD和320枚HBTC。更早之前，慢霧團隊曾監測到，攻擊者還轉回了12.6萬枚PAX，並附言“Better future”。