從Lendf.Me黑客事件我們看到了什么？_END:DEFI

編者按：本文來自鏈聞ChainNews，撰文：LeftOfCenter，星球日報經授權發布。作者特別感謝慢霧科技創始人余弦對本文的幫助。對于DeFi投資者來說，這是一個不平靜的周末。知名的DeFi貸款協議Lendf.Me平臺上價值近2500萬美元的資產被黑客洗劫一空，不過是個把小時的事情。大約是在北京時間4月19日周日早上9點多，DeBank的徐勇在微信群中截圖提示，Lendf.Me平臺上的資金利用率顯示異常。當時，該平臺上幾乎所有可借資產都出現極高的借出率，多個資產的利用率已經高達99%，imBTC的資金利用率則為100%。DeFiPulse的數據也顯示，Lendf.Me平臺鎖倉資產迅速跌落。很快，Tokenlon發布公告宣布暫停imBTC交易。Lendf.Me團隊隨后證實，北京時間8點45分，在區塊高度9899681遭受黑客攻擊。該團隊表示，已經關停網站并展開調查，技術團隊已經定位問題，并在網頁端建議所有用戶停止往借貸協議存入資產。至此，黑客已將Lendf.Me平臺上的用戶存儲資產全部掏空。鏈上數據顯示，被攻擊后，Lendf鎖倉資產美元價值瞬間下跌100%至6美元，而此前的鎖倉總價值超過2490萬美元。鏈上觀測發現，攻擊者不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的資產兌換成ETH及其他代幣。據區塊鏈安全公司慢霧科技當時發布的統計，Lendf.Me被攻擊累計的損失約24,696,616美元，具體盜取的幣種及數額為：WETH:55159.02134,WBTC:9.01152,CHAI:77930.93433,HBTC:320.27714,HUSD:432162.90569,BUSD:480787.88767,PAX:587014.60367,TUSD:459794.38763,USDC:698916.40348,USDT:7180525.08156,USDx:510868.16067,imBTC:291.3471此時，我們很容易聯想到前不久發生閃貸攻擊的bzx，那一次攻擊也是發生在1月的某個周六，先后兩次攻擊共盜走了90萬美金。當時，很多DeFi愛好者突然意識到，蒸蒸日上的DeFi并不是想象中的那么安全。到了周日晚間，事情又發生了一些戲劇化變化，黑客開始向Lendf.Me返還部分資產。鏈上信息顯示，攻擊者向Lendf.Me平臺admin賬戶陸續轉回12.6萬枚PAX、38萬枚HUSD和320枚HBTC，并附言「Betterfuture」。這些資產屬于合規的中心化資產，對于黑客來說，無法兌現，竟然退還了。這一動作也在稍后團隊發布的官方聲明中得到了證實。Lendf.Me平臺的發起方dForce的創始人楊民道在之后發表的一篇文章中稱，「黑客試圖與我們聯系，而我們也打算與他們進行討論」。Lendf.Me平臺的admin賬戶通過memo對攻擊者進行了回應。楊民道稱，正與交易所和執法機構合作追查黑客，全力搶救被盜資金。與此同時，Lendf.Me平臺的多位受害者紛紛通過轉賬向黑客留言，求對方返還自己的血汗錢。至此，此次黑客盜竊已演變成一次大型群體事件。

育碧已成為Cronos區塊鏈驗證者:金色財經報道，據官方公告，Cronos近期宣布與游戲巨頭育碧（Ubisoft）建立新的合作伙伴關系。育碧通過作為Cronos節點驗證者以加入Cronos生態系統，同時育碧將通過其戰略創新實驗室繼續探索區塊鏈技術。[2023/7/19 11:03:44]

團隊同時還公布了后續解決該事件的幾個措施，包括：1.聯系了頂級安全公司，對Lendf.Me進行更全面的安全性評估；2.與合作伙伴一起制訂解決方案，對系統進行資本重組，「雖然我們遭遇了攻擊，但不會就此被打倒」；3.正在與主流交易所、場外交易商和執法機構合作，調查該情況，扣留被盜資金并追查黑客。截止目前，調查及被盜資金截斷工作正在進行。還原攻擊過程

目前已知的情況是，攻擊者利用了imBTC采用的ERC-777標準的一個「特性」，執行「重入攻擊」，導致市值約2500萬美金的資產從Lendf.Me合約里被取出。慢霧對此次攻擊事件的細節進行了詳細還原：對Lendf.Me實施攻擊的攻擊者地址為0xa9bf70a420d364e923c74448d9d817d3f2a77822，此次攻擊者通過部署合約0x538359785a8d5ab1a741a0ba94f26a800759d91d實現。通過查看Etherscan上其中一筆交易發現：攻擊者首先是存入了0.00021593枚imBTC，但是卻從Lendf.Me中成功提現了0.00043188枚imBTC，也就是說，提現的數量幾乎是存入數量的翻倍。那么攻擊者是如何從短短的一筆交易中拿到翻倍的余額的呢？接下來，慢霧對一筆交易中的每一個動作進行了深入分析：攻擊者對Lendf.Me進行了兩次supply()函數的調用，但是這兩次調用都是獨立的，并不是在前一筆supply()函數中再次調用supply()函數；緊接著，在第二次supply()函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的withdraw()函數發起調用，最終提現；攻擊者的withdraw()調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的tokensToSend()鉤子函數的時候調用的。很明顯，攻擊者通過supply()函數重入了Lendf.Me合約，造成了重入攻擊。如果說以上的技術細節對于小白來說不那么容易理解，那么，可以通過以下這個類比來通俗地理解何為重入攻擊：假設甲是現實生活中的一名詐騙犯，他來到銀行柜臺前對柜員乙表示需要取出自己賬戶里的所有錢。柜員乙查詢了甲的賬戶金額，將金額記賬到了「待取款的臨時賬戶」里。不過，還沒等柜員乙從「待取款的臨時賬戶」里把錢取出來并更新甲的賬戶金額及重置甲的「待取款的臨時賬戶」，甲已經不見蹤影；甲以光速來到了另一個分行，向該分行的柜員丙表示需要取錢，柜員丙又執行了一遍之前柜員乙的操作：查詢了甲的賬戶金額，將金額再次記賬到了「待取款的臨時賬戶」里，從「待取款的臨時賬戶」里把錢取出來并更新甲的賬戶金額及重置甲的「待取款的臨時賬戶」；最終這導致甲取了自己金額兩倍的錢，如此往復，直到將該銀行的所有資金掏空為止。在Lendf.Me黑客事件中，甲對應的是黑客，而銀行則是Lendf.Me。禍從何處來？

Arbitrum上穩定幣市值達16億美元，超10億美元為USDC:金色財經報道，據DefiLlama數據顯示，Arbitrum上穩定幣市值達16億美元，其中超過10億美元為USDC。[2023/3/21 13:16:33]

這是DeFi領域中一次標志性的黑客事件，引發了業內廣泛討論，范圍不僅僅局限于被黑金額和項目本身，更是涉及了安全的重要性、開放金融的意義、社區的包容性乃至中西區塊鏈社區的誤解和偏見。首先，2500萬美金是一筆數目不小的損失，它可能是平臺上普通用戶的所有積蓄。對于這些DeFi領域的早期探索者而言，對中心化平臺持懷疑態度讓他們投向了開放金融的懷抱，這次這個沉重的代價無疑是一記重拳，打擊了他們對DeFi的信心。而對于項目方來說，這有可能意味著重頭再來。Lendf.Me作為DeFi領頭羊之一，是從中國發起的明星區塊鏈項目和冉冉升起的潛力之星，2019年9月啟動到目前僅半年時間，在開放金融借貸市場占有一席之地，并已發展成為最大的法幣穩定幣借貸協議。在被攻擊事件發生之前，其資產規模接近3000萬美元，并有近1000萬美元的未償還貸款。就在幾天前，Lendf.Me才獲得來自MulticoinCapital、火幣資本和招銀國際的150萬美金戰略投資。dForce的創始人楊民道在聲明中也表示，其個人也在本次黑客攻擊中遭到了嚴重的經濟損失。更糟糕的是，除了直接受害者，此次事件帶來的間接傷害可能更大。今年2月，DeFi才剛剛迎來里程碑事件，同時作為以太坊重要的真實用例，這可能會對以太坊甚至整個公鏈的失去信心。針對此次攻擊，有社區成員認為，平臺方具有不可推卸的責任。Lendf.Me本身作為運營方，對界面端的合約安全性審核不足，導致事故發生。對此，團隊表示，已經聯系了頂級安全公司，對Lendf.Me進行更全面的安全性評估，預計團隊后續會在這個方面有所加強。也有另一種聲音則認為，imBTC的資產發行方Tokenlon負有一定責任，在前一晚Uniswap發生事故關停imBTC的合約轉賬后，又重新開通了imBTC的合約轉賬功能，給了黑客可乘之機。不過，Tokenlon透露的信息則表示，在4月18日17:00重啟imBTC的轉賬功能之前，曾經與Lendf.Me及其他imBTC合作平臺溝通，并得到Lendf.Me及其他合作平臺確認安全風險評估沒問題后，才重啟轉賬功能的。imBTC是與BTC1:1錨定的ERC-777代幣，由Tokenlon負責發行和監管，imBTC采用ERC-777代幣標準規范。出于安全上的考慮，很多投資者紛紛開始清查哪些平臺涉及ERC-777標準的代幣，一時之間對ERC-777標準聞之色變。也有人為協議標準喊冤，認為協議本身沒問題，只是開發者在使用時沒有考慮到其中存在的兼容性問題。比如，有開發者認為，ERC20之于ERC777，就如同比特幣之于以太坊，ERC20雖然更加安全，但功能具有局限性。

比特幣礦企Iris Energy季度凈虧損為1.44億美元:金色財經報道，比特幣礦企Iris Energy公布截至去年12月的季度凈虧損為1.44億美元，收入為1380萬美元。虧損主要是由于其設備融資相關的1.052億美元非現金減值費用，并表示其在截至12月的季度開采的比特幣有所減少。收入高于FactSet分析師平均估計的1330萬美元。在使用比特大陸預付款購買4.4EH/s的機器后，它現在計劃在“未來幾個月”安裝這些機器時將其哈希率提高到5.5EH/s。[2023/2/16 12:09:42]

誕生于2015年的ERC20標準，功能非常簡單，因此也很受歡迎。但對于一個試圖創建「可編程貨幣」的系統來說，ERC20代幣標準的功能非常有限，其局限性導致了以太坊的許多用戶體驗問題。ERC777標準可以看作是ERC20標準的升級版，作為一種新的代幣標準，它向后兼容ERC20，并增加了一些新的功能，這些功能包括數據字段、運算符，配合合約錢包還可拒絕不想要的代幣等功能。但ERC777可解決的最大問題是，通過添加「鉤子」，提供以太坊代幣之外的代幣支付功能，這可實現在Uniswap中將Dai轉換為ETH的交易只需一步即可完成。對于不熟悉ERC20代幣標準的同學，這里可以做個簡單科普：由于ERC20代幣標準沒有「支付功能」，在進行代幣交易時需要進行多筆交易，比如如果使用Uniswap將ETH轉換為Dai，基本上發送ETH即可獲得Dai，但如果是相反，將Dai轉換為ETH，則需要先進行一筆交易對Dai進行批準，之后才可以置換成ETH。這個問題的原因在于，ERC20標準沒有「支付功能」，這讓合約在收到ETH時可以執行代碼，但是在收到ETH之外的其他代幣時則無法執行代碼。而ERC777通過添加「鉤子」解決了這個問題，讓Dai轉換為ETH的交易一步即可完成。但ERC777標準最大的問題是，調用「鉤子」函數會導致安全問題。最近imBTC/Uniswap發生的兩起安全事故就是黑客利用了ERC777標準導致的重入攻擊，讓攻擊者可提現余額變多，直到掏空平臺所有資產。不過，重入攻擊并不是什么新鮮事物。2017年那起導致以太坊分家的「TheDAO事件」就是由可重入攻擊引起的。對于開發者而言，新鮮事物可能是，重入攻擊也會對ETH之外的代幣產生影響，而此前，開發者了解的可能是：ETH轉移很容易受到重入攻擊，但其他代幣轉移則是安全的。此次事件更引發了對DeFi整個生態系統的反思。被成為貨幣樂高的DeFi具有可組合和互操作性的特點，這給我們帶來了無數的可能性。但硬幣的另一面也是的DeFi的最大問題：作為一個復雜系統，DeFi的風險也會被無限放大，系統的安全性取決于最短的那塊木板，樂高積木中只要有一個模塊出了問題，整個系統就會被拖垮。這就是經典的木桶原理。為此，安全團隊慢霧給出的防御性建議之一是：「在對多個合約進行對接的時候需要對多方合約進行代碼安全和業務安全的把關，全面考慮各種業務場景相結合下的安全問題。」再反思

英監管機構對FTX相關慈善組織展開調查:1月31日消息，英國負責監管注冊慈善機構的監管機構The Charity Commission已對FTX相關的慈善組織Effective Ventures Foundation展開調查。據悉，FTX慈善基金會是該慈善機構的重要資助者，監管機構調查將集中于慈善機構資產的風險程度以及受托人遵守法律義務的程度；受托人對慈善機構的治理和管理，包括慈善機構的受托人與其資助者之間的關系、利益沖突等。另外，監管機構或將酌情擴大調查范圍。[2023/1/31 11:38:04]

那些出于對安全隱患的擔憂，從中心化平臺轉向DeFi的早期探索者們，赫然發現，去中心化上的安全問題似乎更大。尤其在近一年以來，DeFi領域已經頻頻發生多起事故。2019年6月，Synthetix受到預言機攻擊，損失超過3700萬sETH合成代幣。今年1月，bZx先后遭到兩次攻擊，損失達90萬美金；今年3月，新晉DeFi明星項目iearn.finance提供的Zap智能合約因未檢查滑點導致穩定幣交易平臺Curve出現一筆異常交易，后通過人為干預使得損失者幾乎未遭受損失，但其創始人AndreCronje稱無法承受社交壓力，將讓該項目自運營。3月12日發生的黑天鵝事件導致部分清算人以價格為0的出價贏得以太坊抵押品清算程序的拍賣，導致MakerDAO出現近500萬美元抵押不足的未償債務，導致多名抵押者在市場拋售期間損失了所有抵押品。Lendf.Me黑客事件發生的前一天，黑客利用Uniswap的ERC777兼容性問題，盜走價值超30萬美元的imBTC。顯然，Lendf.Me發生的這起事故不是第一起，也不會是最后一起。此次黑客事件為整個行業敲響警鐘，倒逼各個項目開始審查自己項目的安全的漏洞。Lendf.Me事件發生后的一天，利用聯合曲線進行做市的去中心化穩定幣交易平臺Curve公布自己的sUSD資金池合約存在漏洞，稱「所有的漏洞已經解決，資金安全，無損失發生」。Curve請用戶提回資金，并等候新合約部署，新合約的改變將進行審計。到目前為止，已有兼容ERC-777標準的平臺開始采取行動。以太坊「無損彩票」平臺PoolTogether宣布已移除ERC-777標準的代幣plDai，之前這是為第三方的開發人員提供的小型資金池，僅涉及約480個plDai。不過慢霧創始人余弦則表示，「拿掉plDai也不是徹底解決方案，他們自己的代碼也往ERC-777去兼容實現，所以自己的代碼還得加強。」另一支區塊鏈安全團隊PeckShield則提出了一個有效的解決方案，建議開發者采用「Checks-Effects-Interactions」方法來防止這類重入攻擊。舉個例子，Lendf.Me的supply()里如果是先更新token余額，再調用doTransferIn()。這將會讓攻擊在withdraw()之后沒有重置余額的可能性。這是一次極好的總結和反思機會，讓項目和用戶本身開始審視安全的重要性。長遠來說，這有利于整個行業的發展。對于項目方來說，未來最重要的是防微杜漸，以「如何最大限度保障平臺資金的安全」/為此，慢霧提出了一系列防御建議：在關鍵的業務操作方法中加入鎖機制，如：OpenZeppelin的ReentrancyGuard；開發合約的時候采用先更改本合約的變量，再進行外部調用的編寫風格項目上線前請優秀的第三方安全團隊進行全面的安全審計，盡可能的發現潛在的安全問題多個合約進行對接的時候也需要對多方合約進行代碼安全和業務安全的把關，全面考慮各種業務場景相結合下的安全問題合約盡可能的設置暫停開關，在出現「黑天鵝」事件的時候能夠及時發現并止損安全是動態的，各個項目方也需要及時捕獲可能與自身項目相關的威脅情報，及時排查潛在的安全風險防微杜漸還意味著，一旦真的發生安全問題該如何補救。回答這個問題十分重要，因為它給用戶加入并繼續留存在DeFi帶來信心。用戶層面上，每一次攻擊事件都會讓用戶對DeFi的信心減少數分，如果沒有預先的應對措施，用戶就會對DeFi失去信心。而對于DeFi來說，信心很重要，沒有信心，DeFi就沒有未來。體量巨大的中心化交易所尚有補救措施，出現資產丟失的情況下，一般都會由資金雄厚的中心化機構賠償用戶的損失，并設置有保險池。去中心化金融的補救措施該如何進行呢？去中心化保險還是聯合兜底？在沒有中心化機構背書的情況下，本質上是尋求一種公地治理的有效機制。和其他行業不同，DeFi作為一個開放、無需允許的公共金融領域，具有牽一發動全身的整體性，一個項目的損失，也不再是項目本身的損失，它會消弱其他DeFi參與者的信心。作為公鏈目前唯一有用的敘事，這樣的悲劇事件，甚至可能會影響競品甚至整個行業發展。這個時候因為競爭關系出現的攻訐、挑釁、甚至民族主義言論則更顯得諷刺。事發之后，無論中國DeFi社區還是Lendf.Me本身的社區成員，都給了Lendf.Me滿滿的支持和信任。至此，無論是損失者、用戶、項目方、DeFi、以太坊和區塊鏈儼然已成為了一個命運共同體。參考：慢霧對Lendf.Me攻擊事件詳細細節還原技術詳解ERC777白話重放攻擊

Web 3.0項目BridgeCoin官網正式上線:據官方消息，由社區驅動的、面向Web3.0 的去中心化加密項目BridgeCoin全新官網已正式上線，項目生態布局內的GameFi平臺、DAPP、多款鏈游、去中心化錢包BR Wallet等已經完成全部測試，在BridgeCoin通證BRC上線交易后會同步上線。

據悉，BridgeCoin將集支付生態、消費生態、金融服生態于一身，打造并向用戶提供人性化、立體化、全方位的加密資產交易服務。[2022/8/28 12:54:10]

Tags：ENDLENDEFIDEFSamurai LegendsALEND幣yefi幣行情DEFI

火幣交易所