DeFi出现严重信任危机：继Uniswap后Lendf Me 2500万美元被盗

而在今天上午，进攻者今朝共向 DeFi 借贷协议 Lendf.Me 偿还 38 万枚 HUSD、320 枚 HBTC 和 12.6 万枚 PAX ，并留下纸条：“下次好运”。

网友也笑称其为“黑客提款机”。

什么是 Lendf.Me ？

也许许多童鞋对 Lendf.Me 是什么还很生疏，以是在这之前，先带各人相识下 Lendf.Me 是什么。

简朴来说，Lendf.Me 是 dForce 旗下的一个借贷协议。

据其官网先容，dForce是一个基于区块链的去中心化金融（DeFi）和钱币协议平台，同时也是第一个得到天下领先贸易银行计谋投资的不变币和 DeFi 协议平台，旨在为开放式金融应用措施提供底层基本办法。团队焦点成员来自高盛、渣打、花旗、弘毅等顶尖金融机构的精英职员和数字钱币行业的早期参加者。

2019 年 9 月，dForce 首个由社区开拓者主导开拓的去中心化借贷协议 Lendf.Me 正式宣布。据其官网先容，Lendf.Me 是基于环球资金池模式的去中心化钱币市场，可觉得用户提供机动、便捷的理财和贷款处事，个中包罗：

• USDx 生息：活期理财，随存随取；

• USDx 贷款：抵押 ETH，得到 USDx 贷款。

针对存款方：

• 将USDx存入http://Lendf.Me获取利钱收入；

• 闲置资金活期理财，更高收益、更低风险、更好的活动性。

针对借贷方：

• 停止卖币套现错失资产升值的用户：不消变卖手上的数字资产，通过抵押的方法参加 USDx 借贷，通过付出少量的贷款利钱，获取更高的资产增值。

• 必要更多资金投资优质资产的用户：通过资产抵押的方法获取活动现金，投资于优质标的，加速资产增添速率。

值得留意的是，用户通过 Lendf.Me 举办 USDx 存款不收取任何用度；申请 USDx 贷款只必要包袱 0.05% 的一次性手续费。

那么，黑客又是怎样对其进攻的呢？

Lendf.Me 2500 万美元被洗劫一空

据外媒 ZDnet 报道，黑客好像把差异区块链技能的裂痕和正当成果接洽在一路，全心筹谋了一场伟大的“重入进攻”。而重入进攻应承黑客在原始买卖营业被核准或拒绝之前，在一个轮回中重复提取资金。

尽量该进攻的细节尚未透露，但值得留意的是，在 1 月份，Lendf.Me 与 imBTC（一种与 BTC 挂钩的以太坊代币）集成。4 月 18 日，imBTC 在 Uniswap 去中心化买卖营业所的活动池被进攻，导致代价约 30 万美元的代币丧失。

通过起源说明，安详研究职员以为 Uniswap 和 Lendf.me 伎俩相同，极有也许是统一伙人所为。

Uniswap 和 Lendf.me 的相似之处在于，这两个平台都在行使：Lendf.me 协议、imBTC 和 ERC-777。

imBTC 是 imToken 推出的以太坊区块链上的 BTC 代币，ERC777 是在 ERC20 基本上推出的代币尺度，兼容 ERC20，并在 ERC20 的基本上增进了一些新的特征。

imBTC 自己并没有安详题目。但 ERC-777 代币与 Lendf.Me 合约组合，就会发生重入进攻裂痕。

正是云云，黑客才气操作裂痕，在 Lendf.Me 上一再锻造出了 6700 多枚假的 imBTC，并以此为抵押，将 Lendf.Me 上的资产洗劫一空，并当即不绝通过 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将偷取的币兑换成 ETH 及其他代币，还将别的部门赃款转入了借贷平台 Compound 和 Aave。

截至今朝，Lendf.Me 2500 万美元被洗劫一空，固然进攻者今天偿还了部门，但仍旧杯水车薪，同时其安详性也受到业内偕行的质疑。

Compound 首创人 Leshner 在 Lendf.Me 被盗一事产生后，也当即发推特暗示：

“假如一个项目无法足够专业，无法构建本身的智能合约，而是直接复制，可能在他人智能合约的基本上稍作修改，那么他们现实上没有思量安详性题目的手段可能意愿。但愿开拓者和用户能从 lendf.Me 变乱中汲取教导。”

dForce 首创人杨民道也当即发声明称：今朝团队正在起劲调停，包罗：

1.  与顶尖安详团队相助，对 Lendf.Me 举办更为全面的安详评估；

2.  与相助搭档起劲切磋可行的办理方案。固然我们遭遇了进攻，但我们不会就此被打垮。

3.  与主流买卖营业所、OTC 买卖营业商、公安机构起劲共同睁开相干观测，不遗余力追索被盗金钱，追踪黑客动态。

为此，安详研究职员也表明白 DeFi 为何老是被黑客进攻：DeFi 的最大特征在于其开放性：一是对用户的开放性，二是合约间的开放性，以是 DeFi 只要有一个模块出了题目，也许就会拖垮整个生态，因此极易成为黑客的进攻方针。从本年年头的 bZx 进攻变乱再到 Uniswap 和 dForce 的进攻变乱，已经充实声名黑客已经把握了 DeFi 体系性风控裂痕的关键，充实操作 DeFi 的可组合性对 DeFi 一连不断地实验进攻。

以是安详研究职员提议 DeFi 开拓者们在代码层面不绝作出改造和更新，不要一位地追求 DeFi 产物的高组合性，同时也应该注重差异 DeFi产物在安详上的可匹配性。

附 dForce 声明：

2020 年 4 月19日，dForce 生态里的钱币市场 Lendf.Me 遭遇黑客进攻，导致市值约两千五百万美金的资产从合约里被取出。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!