DEF:Lendf.Me遭黑客攻击损失约2470万美元，DeFi为何安全问题频发_TEND币

“DeFi平台不作恶，奈何扛不住黑客太多。”继4月18日Uniswap被黑客攻击损失1278枚ETH之后，4月19日上午8点45分，国产DeFi借贷协议Lendf.Me被曝遭受黑客攻击，据慢雾科技反(AML)系统统计显示，此次Lendf.Me累计损失约2470万美元，具体盗取的币种及数额为：

之后攻击者不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币。据安全公司透露，dForce团队追回这笔损失的可能性微乎其微，目前dForce团队正在定位被攻击原因，并在网页端建议所有用户停止往Lendf.Me协议存入资产。

借贷协议Solend将推出无许可借贷市场，允许用户创建任何代币的借贷池:8月18日消息，据外媒报道，Solana头部借贷协议将推出无许可借贷市场，允许任何拥有100SLND（约70美元费用）的用户创建任何代币的借贷池。

据悉，Solend拥有21个列入白名单的贷款池，为Solana生态提供了4.71亿美元的可借代币，这些白名单的借贷池由Solend团队审查。无许可借贷市场旨在帮助项目“引导”其原生代币的借贷市场，帮助有影响力的人通过推广使用自己的资产池来“从他们的追随者中获利”，甚至支持他们仅靠声誉创建“无担保”信贷额度。（CoinDesk）[2022/8/18 12:33:21]

图片来源于：Lendf.Me官网据Defipulse数据显示，过去24小时内，dForce锁仓资产美元价值下跌100%至1万美元，而此前的锁仓总价值超过2490万美元。

Bibox交易所现已支持SEELE通过SeeleN公链充提:据官方消息，SeeleN DAO生态与Bibox交易所达成战略合作。Bibox交易所成为SeeleN DAO生态战略合作交易所，并支持SeeleN DAO生态功能通证SEELE通过SeeleN公链进行充值和提现业务。[2022/7/19 2:22:53]

图片来源于：Defipulse据慢雾科技反系统监测显示，Lendf.Me攻击者正持续不断将攻击获利的PAX转出兑换ETH，总额近58.7万枚PAX，使用的兑换平台包括1inch.exchange、ParaSwap等。攻击者地址为0xa9bf70a420d364e923c74448d9d817d3f2a77822。据慢雾安全团队分析发现，黑客此次攻击Lendf.Me的手法与昨日攻击Uniswap手法类似，均由于DeFi合约缺少重入攻击保护，导致攻击者利用ERC777中的多次迭代调用tokensToSend方法函数来实现重入攻击，极有可能是同一伙人所为。慢雾安全团队详细分析了此次Lendf.Me攻击的全过程：攻击者首先是存入了0.00021593枚imBTC，但是却从Lendf.Me中成功提现了0.00043188枚imBTC，提现的数量几乎是存入数量的翻倍。那么攻击者是如何从短短的一笔交易中拿到翻倍的余额的呢？通过分析交易流程，慢雾安全团队发现攻击者对Lendf.Me进行了两次supply()函数的调用，但是这两次调用都是独立的，并不是在前一笔supply()函数中再次调用supply()函数。紧接着，在第二次supply()函数的调用过程中，攻击者在他自己的合约中对Lendf.Me的withdraw()函数发起调用，最终提现。

Julian Lennon正在出售披头士乐队纪念品NFT:1月29日消息，朱利安·列侬（Julian Lennon）正在出售披头士乐队和约翰·列侬（John Lennon）的纪念品NFT，不包括实物。该系列NFT包括保罗·麦卡特尼（Paul McCartney）关于歌曲\"Hey Jude\"的手写笔记，以及约翰·列侬（John Lennon）在乐队里穿的衣服。

“Hey Jude”笔记的出价将从30000美元开始，而John Lennon穿着的黑色斗篷和阿富汗外套将分别以8000美元和6000美元的价格进入拍卖行。用户还将有机会竞拍列侬拥有的几把吉他NFT，每把吉他NFT的开盘价为4000美元。

据了解，Julian Lennon是John Lennon和前妻Cynthia的儿子。该系列NFT是通过与YellowHeart合作在Polygon上构建的。Julian Lennon发推称，竞标的部分收益将捐赠给基金会White Feather Foundation，用于抵消NFT的碳足迹。（Cryptoglobe）[2022/1/29 9:21:51]

Rari Fuse上Vesper Lend借贷池再次遭攻击损失约100万美元:12月31日消息，官方报道，Vesper Finance表示，在利率协议Fuse上推出的23号借贷池Vesper Lend beta再次遭遇攻击。攻击者操纵了一个预言机并耗尽了约100万美元的DAI、ETH、WBTC和USDC的Beta测试借贷池。这不是对Vesper合约的攻击，没有VSP或VVSP受到威胁。Vesper已禁 Beta Vesper Lend Rari Pool #23中所有代币的借贷，还将预言机从VUSD/USDC切换到 VUSD/ETH (Uni v3)。

此前消息，Rari Fuse上Vesper Lend借贷池遭攻击，攻击者获利300万美元。[2021/12/31 8:16:10]

图片来源于：慢雾安全团队在这里，攻击者的withdraw()调用是发生在transferFrom函数中，也就是在Lendf.Me通过transferFrom调用用户的tokensToSend()钩子函数的时候调用的。很明显，攻击者通过supply()函数重入了Lendf.Me合约，造成了重入攻击。此次Lendf.Me协议被攻击一事也让大家对dForce的代码审计方提出质疑，公开信息表明，Lendf.me协议分叉了Compoundv1代码，而Compoundv1是trailofbits这家公司审计的。Compound创始人Leshner在Lendf.Me被盗一事发生后，也立即发推特表示：“如果一个项目无法足够专业，无法构建自己的智能合约，而是直接复制，或者在他人智能合约的基础上稍作修改，那么他们实际上没有考虑安全性问题的能力或者意愿。希望开发者和用户能从Lendf.Me事件中吸取教训。”

动态 | RippleNet成员Nium获得印尼央行跨境支付许可:RippleNet成员Nium（InstaREM）获得印尼央行跨境支付许可。NIUM联合创始人兼首席执行官Prajit Nanu表示，印尼境内外跨境支付市场潜力巨大。在获得跨境支付许可后，印尼消费者和中小企业将可以通过NIUM的数字货币转账服务在全球60多个不同地点进行跨境支付。（bitcoinexchangeguide）[2019/11/14]

图片来源于：twitter我们在此建议DeFi开发者们在设计产品时应该自主研发，建立自己的风控机制，提高风控能力。现在很多用户担心自己在Lendf.Me平台的资产取不出来，根据Odaily星球日报的了解，dForce团队正在全力处理此次攻击事件，目前尚未给出具体的赔付方案。接连两次的DeFi攻击事件给我们带来了哪些思考？

从今年年初的bZx攻击事件再到Uniswap和dForce的攻击事件，说明黑客已经掌握了DeFi系统性风控漏洞的要害，充分利用DeFi的可组合性对DeFi接二连三地实施攻击。DDEX运营负责人BowenWang曾在Odaily星球日报举办的「生机」云峰会上反思bZx事件的影响，“乐高的概念是因为所有积木都是乐高一家生产的，质量非常好。但是DeFi很多的部件质量参差不齐。像发生在bZx上的事情说明了一点，当你不是非常了解地基的时候，你越建越高反而越危险。”用木桶理论来解释DeFi乐高的最大问题，DeFi系统的安全性取决于最短的那块木板，所以DeFi乐高中只要有一个模块出了问题，可能就会拖垮整个生态。这就需要DeFi开发者们在代码层面不断作出改进和更新，不要一位地追求DeFi产品的高组合性，同时也应该注重不同DeFi产品在安全上的可匹配性。此外，开发DeFi保险也可以在一定程度上缓解黑客攻击给DeFi平台带来的损失，DeFi保险协议NexusMutual为bZx攻击事件中遭受损失的用户进行赔偿已经为行业做了成功的示范。不过，DeFi保险产品目前还处于非常早期的开发阶段，产品模型和运行方式尚未成熟，也缺乏统一的风险定价系统和赔付金保障机制，大部分保险平台更像有一定保障性质、对冲币价波动风险的衍生品工具，或者仅toB的平台服务。总得来说，DeFi还处于发展初期，还有很多机制仍需不断去完善，dForce作为深耕DeFi生态的优质从业者，我们也希望dForce团队可以挺过这次危机，做好灾后重建工作，重塑中国DeFi开发者们的信心。最新进展

4月20日凌晨，dForce创始人杨民道于Medium发文表示，黑客利用ERC777与DeFi智能合约的兼容问题实现重入攻击，Lendf.Me损失了大约2500万美元。目前，团队正在开展如下行动：已与顶级安全公司联系，对Lendf.Me进行更全面的安全评估；与合作伙伴一起制定一项解决方案，对该系统进行资本重组，虽然遭受了这次的袭击，但我们不会停止脚步；正与主流交易所、OTC平台以及相关执法部门合作，调查情况，阻止被盗资金的转移，并追踪黑客。此外，团队将在北京时间4月20日晚上11:59在官方博客上提供更详细的更新。另据链上信息显示，攻击者于4月20日凌晨3点左右，向Lendf.Me的admin账户转回了38万枚HUSD和320枚HBTC。更早之前，慢雾团队曾监测到，攻击者还转回了12.6万枚PAX，并附言“Betterfuture”。

推荐阅读：《DeFi守护神是谁？》参考文章：《慢雾：DeFi平台Lendf.Me被黑细节分析及防御建议》

标签：DEFEFIENDLENDEco DeFiFireFiTEND币Blend

欧易交易所app下载热门资讯