2020年,注定是經(jīng)歷和見證各種歷史的一年�。就在剛經(jīng)歷了史無(wú)前例的“負(fù)油價(jià)”之后,4月21日���,我們又見證了一筆價(jià)值1.75億人民幣的“黑客退款”�����。
事情的經(jīng)過大致是這樣的��,北京時(shí)間4月19日上午8點(diǎn)45分起���,亞洲地區(qū)最大的DeFi平臺(tái)dForce旗下的貸款協(xié)議Lendf.Me在區(qū)塊高度9899681遭到黑客攻擊�����,導(dǎo)致價(jià)值約2500萬(wàn)美元的數(shù)字資產(chǎn)被洗劫一空��。
從攻擊的作案手法上來看�,黑客主要是利用了imBTC的ERC777標(biāo)準(zhǔn)內(nèi)的漏洞來進(jìn)行了“重入攻擊”。ERC777(imBTC)的回調(diào)機(jī)制使得黑客能夠在余額更新之前���,重復(fù)提供和撤回imBTC�����。
據(jù)慢霧科技隨后的統(tǒng)計(jì)顯示���,此次攻擊中�����, Lendf.Me 累計(jì)的損失約 24,696,616 美元�,具體盜取的幣種及數(shù)額為:WETH: 55159.02134�;WBTC: 9.01152;CHAI: 77930.93433�;HBTC: 320.27714; HUSD: 432162.90569�; BUSD: 480787.88767; PAX: 587014.60367����;TUSD: 459794.38763; USDC: 698916.40348���; USDT: 7180525.081569999��; USDx: 510868.16067��; imBTC: 291.3471��。
之后�,黑客不斷通過1inch.exchange、ParaSwap����、Tokenlon 等 DEX 平臺(tái)將盜取的幣兌換成 ETH 及其他代幣。
4月19日晚間�����,dForce創(chuàng)始人楊民道發(fā)表聲明����,稱團(tuán)隊(duì)正在開展如下行動(dòng):1、與頂級(jí)安全公司聯(lián)系���,對(duì)Lendf.Me進(jìn)行更全面的安全評(píng)估;2����、與合作伙伴一起制定一項(xiàng)解決方案,對(duì)該系統(tǒng)進(jìn)行資本重組,雖然我們被這次襲擊擊倒了����,但我們不會(huì)停止腳步;3����、正與主要的交易所,OTC 平臺(tái)以及相關(guān)執(zhí)法部門合作���,調(diào)查情況�����,阻止被盜資金的轉(zhuǎn)移�,并追蹤黑客�。
令人大跌眼鏡的是,4月20日凌晨3點(diǎn)左右�,根據(jù)鏈上信息顯示, Lendf.Me 的攻擊者���,先后向借貸平臺(tái) Lendf.Me 的 admin 賬戶轉(zhuǎn)回了38萬(wàn)余枚 HUSD 和 320 余枚 HBTC�����,以及12.6 萬(wàn) PAX���,總價(jià)值超過200萬(wàn)美元���,也就是說,黑客居然一次性退回了贓款的近十分之一���。
隨后����,dForce官方在推特上發(fā)布了一堆“符號(hào)碼”���,疑似通過“密碼”向黑客喊話或者進(jìn)行“談判”��。
令人意想不到的是�,北京時(shí)間4月21日13點(diǎn)40分左右起����,盜取Lendf.ME的黑客竟然陸續(xù)向Lendf.ME歸還了幾乎所有盜竊的代幣,包括57,992枚ETH�,425.61枚MKR����,13.7萬(wàn)枚DAI�����,50萬(wàn)枚USDT���,252.34枚imBTC等等。
至此���,3天之間����,我們見證了史上最大的一筆�����,總價(jià)值接近1.75億元人民幣的巨額黑客還款�����。
縱觀整起黑客事件�����,整個(gè)過程依然充滿了魔幻色彩。從操作手法上來看�����,此次事件的攻擊者并不像一名專業(yè)的“黑客”�����。
根據(jù)去中心化交易所服務(wù)商1inch的發(fā)言人解釋稱�����,此次事件的黑客使用了基于Web的內(nèi)容分發(fā)網(wǎng)絡(luò)����,泄露了關(guān)于其本人的重要元數(shù)據(jù)頭部信息。具體而言�,這名黑客在去中心化交易所的所有交易請(qǐng)求都來自一個(gè)中國(guó)的IP地址,這名黑客并沒有使用Tor之類的去中心化網(wǎng)絡(luò)�����。此外�,泄露的信息甚至還包括黑客使用的電腦類型、屏幕分辨率和系統(tǒng)語(yǔ)言等等。
對(duì)此1inch這樣評(píng)價(jià)到:“他似乎是一名優(yōu)秀的程序員�����,但卻是一名幾乎沒有什么經(jīng)驗(yàn)的黑客���。”一筆1.75億人民幣的超級(jí)巨款����,居然在被盜之后3天內(nèi),如數(shù)歸還�����,此舉可謂在“黑客史”上史無(wú)前例�����。
有業(yè)內(nèi)人士指出���,正常情況下���,黑客在盜取了這些巨額資產(chǎn)后,應(yīng)當(dāng)進(jìn)行一段時(shí)間的徹底“沉默”��,待事件逐漸“平息”后,通過“混幣”��、“粉塵化”等手法進(jìn)行“洗幣”����,然后再逐步套現(xiàn)。
之所以選擇第一時(shí)間還幣�����,最有可能的是黑客本人的真實(shí)身份已經(jīng)被dForce所掌握���,通過dForce的溝通和談判��,從而追回了全部損失��。
而這位黑客在開展攻擊前���,很可能并沒有做好全部準(zhǔn)備,而是一種“臨時(shí)起意”式的攻擊��。原本只是想“試一試”���,豈料“一不小心”就“試成了”�����,拿到1.75億的巨額數(shù)字資產(chǎn)后�,心里說不定也“慌得一匹”,一不小心就漏出了破綻�。
也有人認(rèn)為�����,此次事件中的黑客可能是具有真正“黑客精神”的計(jì)算機(jī)極客�����,人家就是想通過這種“大事件”���,指出行業(yè)漏洞�,引領(lǐng)行業(yè)發(fā)展����。
此次事件發(fā)生后,面對(duì)可能的“滅頂之災(zāi)”�����,dForce平臺(tái)能夠積極應(yīng)對(duì)、全力追回資產(chǎn)�����,而不是發(fā)布類似“我們只是第三方”之類的搪塞態(tài)度�����,固然體現(xiàn)了平臺(tái)本身的責(zé)任感和業(yè)內(nèi)的影響力��。然而�,技術(shù)上出現(xiàn)的重大漏洞,也為整個(gè)行業(yè)敲響了警鐘��。
在DeFi領(lǐng)域���,網(wǎng)絡(luò)安全永遠(yuǎn)是排在第一位了���。下一次,我們不會(huì)再如此幸運(yùn)地遇到這么“有個(gè)性”的黑客���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
