事件背景:
DeFi借贷协议Lendf.Me今日遭受攻击,开发团队已在?Lendf.Me用户界面用红字提醒,呼吁用户目前不要向合约存款,此事发生,瞬间引起了外界对于区块链和数字货币安全的激烈讨论。
Lendf.Me于去年?9月推出后因其锁仓资产价值成为?DeFiPulse七大DeFi市场之一,今日攻击者利用重入漏洞覆盖自己的资金余额并使得可提现的资金量不断翻倍,最终将Lendf.Me盗取一空。
黑客攻击事件复盘:
据成都链安反合规和调查取证系统追踪统计,目前?Lendf.Me?损失已超2500万美元,完整攻击过程复盘如下:
此次攻击者地址为:0xA9BF70A420d364e923C74448D9D817d3F2A77822;攻击合约为:0x538359785a8D5AB1A741A0bA94f26a800759D91D,攻击者首先进行了多次攻击测试:
在合约部署完成后的第三笔交易(0xe49304cd3ed)中,攻击者进行了首次攻击尝试:
波卡生态项目DORA将于21日22:00登陆MXC抹茶M-Day:据官方公告,3月21日22:00—3月22日17:00,波卡生态项目DORA(Dora Factory )登陆MXC抹茶M-Day开启抽签登记,活动价格10 USDT。用户可通过两种方式获得抽签资格:1. 3月19日17:00-22日17:00,交易规定的主流资产现货、杠杆和ETF,交易额大于5000 USDT。2. 抽签时币币账户中USDT大于3000 USDT。交易或持仓额度越高,获得的签数越多。3月21日9:00-3月22日9:00,持有MX还可获得不同等级的加成签数。所有参与活动但未中签者,可根据未中签数瓜分阳光普照奖。
资料显示,Dora Factory是基于波卡生态的 DAO 即服务基础设施,可为去中心化组织和开发者提供二次方投票、曲线拍卖、Bounty 激励、跨链资产管理等功能。[2021/3/19 19:01:56]
整个攻击事件开始阶段,攻击者的初始交易发送脚本存在问题,导致只有区块中的第一次攻击才能攻击成功,后面的交易全部抛出异常。
后面攻击者对攻击脚本做出了改动,一个区块只发送一笔攻击交易。首先分析这三笔成功的交易,可以看到攻击者的资金基本上呈现一个倍增的关系,攻击已经开始获利:
MXC抹茶今日20:00上线HEZ:据官方公告,1月11日20:00,MXC抹茶创新区上线HEZ(Hermez Network Token),开放USDT交易,现已开放充值和提现。1月11日13:00-14日10:00,净充值不低于50USDT的用户,可根据净充值占比瓜分2000USDT;净充值不低于500USDT,可根据占比瓜分4000 USDT。资料显示,Hermez是以太坊扩容解决方案技术团队iden3推出的ZK Rollup概念扩容网。[2021/1/11 15:51:47]
https://etherscan.io/tx/0xae7d664bdfcc54220df4f18d339005c6faf6e62c9ca79c56387bc0389274363b
https://etherscan.io/tx/0xa0e7c8e933be65854bee69df3816a07be37e108c43bbe7c7f2c3da01b79ad95e
MXC抹茶杠杆交易大数据:BTC多空借币比为9.6:1:MXC抹茶杠杆交易大数据显示,截至7月8日10:00,BTC多空借币比为9.6:1。今日多空借币比排名前10的币种及其多空借币比:BNB为8835:1、DASH为7882.2:1、NEO为3587.6:1、MX为1791:1、EOS为497.2:1、XRP为278.5:1、NKN为258.3:1、FOR为187.4:1、IOTX为184.6:1、BHD为149:1。KAVA借币做多量较昨日暴涨5052.2%,GXC、NKN借币做多量较昨日增长3100%、752.4%。[2020/7/8]
https://etherscan.io/tx/0xf8ed32d4a4aad0b5bb150f7a0d6e95b5d264d6da6c167029a20c098a90ff39b4
到此时,攻击者已经完成对攻击过程的确认,之后的连续多个交易则是攻击者注册了多个代币地址用于代币兑换:
https://etherscan.io/tx/0xc906fc184c6fd453b01d3bc04612cf90e8d339edfe1611e25baa47eb6e9ec080
FX1上线MXC抹茶,开盘最高涨幅455.55%:官方公告,MXC抹茶已于4月29日(今日)20:00正式上线FX1(FANZY),开通FX1/USDT交易对。截至目前,FX1开盘价 0.000045 USDT,最高报价0.00025 USDT,最高涨幅455.55%,现报0.00012 USDT。
据了解,FANZY是V-COMMERCE3.0时代的视讯营销平台,利用区块链技术,通过用户激励,构建新一代的V-commerce生态基础设施。项目自主开发的底层平台On Protocol已获得韩国国内多项技术大奖,且项目获得了韩国政府及多家上市公司支持并签订了MOU。[2020/4/29]
以0xc906fc184c6f交易为例,0x06af07097c9eeb7fd685c692751d5c66db49c215是代币CHAI的合约地址,区块高度9899740~9899741基本上全部在注册代币。
之后攻击者继续发起攻击,可以看到,每次攻击后,攻击者持有的资金(imBTC)基本会翻一倍。
通过这样不断翻倍的过程,在交易0xced7ca81308时,基本已达到imBTC的最大存量。
动态 | 成都链安面向联盟链推出“一站式”安全平台:据官方消息,成都链安面向联盟链安全需求推出“一站式”安全解决方案,为联盟链生态提供从安全设计、开发、安全检测到运行时安全监控和管理等全方位的安全服务与支持。
?
“一站式”安全平台主要包括:支持FISCO-BCOS、Fabric、以太坊、EOS等多个平台的“一键式”智能合约自动形式化验证工具Beosin-VaaS;Beosin-IDE智能合约开发工具;Beosin-Eagle Eye安全态势感知系统;Beosin-Firewall防火墙;Beosin-OSINT 威胁情报系统;安全审计与检测;安全顾问等服务。
?
成都链安作为最早专门从事区块链安全的公司之一,核心团队在安全领域深耕18年,申请区块链安全相关软件发明专利和著作权15项。平台推出以来,已为微众银行区块链、布比、云象、益链等多个联盟链平台提供了全套的“一站式”安全解决方案和安全防护。[2019/11/28]
之后利用获利的imBTC借入其他代币,如下图所示:
黑客攻击手法分析:
以其中一笔交易0x111aef012df47efb97202d0a60780ec082125639936dcbd56b27551ce05c4214为例:
lendf.me合约地址:0x0eEe3E3828A45f7601D5F54bF49bB01d1A9dF5ea
imBTC合约地址:0x3212b29e33587a00fb1c83346f5dbfa69a458923
第1步,正常执行supply函数,存入113.21475453?imBTC,这里未进行重入。
第2步,再次调用supply函数,存入0.00000001imBTC,在这次交易中,如第3步攻击者触发了supply函数中利用transferFrom函数转入代币时会通知发送方的特性,在发送方的代码中回调了Lendf.me的withdraw函数,取出了第1步supply中存入的113.21475453imBTC以及在本次交易的上一笔重入交易中的113.21475516imBTC,总共为226.42950969imBTC,重入之后再次回到transferFrom剩余的代码中,继续执行将0.00000001imBTC转入lendf.me的操作。
重入攻击的具体代码执行过程如下:
1、进入supply函数
2.调用内部doTransferIn函数,该函数会调用imBTC的transferFrom函数进行代币转账操作
3.在imBTC中,会调用攻击者指定合约(0x538359785a8D5AB1A741A0bA94f26a800759D91D)的tokensToSend函数,攻击者在函数中执行了重入操作,该重入操作调用了lendf.me的withdraw函数,取出了226.42950969imBTC。
4.?withdraw执行完成后,继续从1583行后的supply函数剩余的代码,这部分的代码主要是记录账本数据,攻击者余额翻倍的错误也是在此处发生的:
整个攻击过程,举个例子:
1>?原先攻击者存款100imBTC,第一次supply存入100imBTC,攻击者账户余额为200imBTC
2>?第二次supply存入0.1imBTC,这次发生了重入
2.1在supply之初,读取用户余额记录,存入临时变量temp,值为200.1
2.2调用imBTC的transferFrom函数转入代币时发生了重入,攻击者调用withdraw取出了当前账户的200imBTC,攻击者账户余额记录为0,攻击者获得了200imBTC。withdraw执行完成后继续执行transferFrom,将0.1imBTC转入lendf.me
2.3继续执行supply,用临时变量temp(200.1)更新用户余额记录,攻击者余额记录变为200.1。
此时攻击者余额记录中为200.1imBTC,手中还有200imBTC,可以继续翻倍攻击。
安全防御建议:?
针对此次攻击事件,我们给予区块链企业如下的安全建议:
1、进行重入防护:比如使用OpenZeppelin的ReentrancyGuard;
2、先修改本合约状态变量,再进行外部调用
3、上线前进行必要的安全审计
被盗资金流向:
攻击者在攻击得手后进行了资金转移,目前资金去向地址如下:
imBTCToken
0x3212b29e33587a00fb1c83346f5dbfa69a458923
Tokenlon?交易所
0xdc6c91b569c98f9f6f74d90f9beff99fdaf4248b
OneInchExchange?交易所
0x11111254369792b2ca5d084ab5eea397ca8fa48b
CompoundUSDCoin?借贷平台
0x39aa39c021dfbae8fac545936693ac917d5e7563
CompoundWrappedBTC?借贷平台
0xc11b1268c1a384e55c48c2391d8d480264a3a7f4
钱包地址
0x3dfd23a6c5e8bbcfc9581d2e864a68feb6a076d3
ChaiToken
0x06af07097c9eeb7fd685c692751d5c66db49c215
AugustusSwapper?交易所
0xf92c1ad75005e6436b4ee84e88cb23ed8a290988
根据成都链安AML对攻击者地址0xA9BF70A420d364e923C74448D9D817d3F2A77822的流出资金进行的持续监控,绘制的攻击者资金流向图如下:
来源:经济参考报 科技是抗击新冠肺炎疫情的重要手段。突如其来的疫情给许多行业按下“暂停键”的同时,也给数字经济按下了“快进键”。区块链技术的集成应用在新的技术革新和产业变革中起着重要作用.
原文来自于PanteraCapital,作者:DanMorehead这是一个非常令人痛苦的,令人费解的时刻.
4月10日下午,阳煤集团与数字资产研究院合作,举办线上区块链培训活动。数字资产研究院学术与技术委员会主席朱嘉明以“区块链技术的功能和制度意义”为题进行授课。本文系作者根据讲课记录修订.
来源:抹茶研究院 4月20日,国家发改委召开例行在线新闻发布会,正式将区块链纳入新基建。会上,国家发改委创新和高技术发展司司长伍浩对新基建给出了初步定义:新基建是以新发展理念为引领,以技术创新为.
来源:头等仓 编者注:原标题为《头等仓研报:四月份DeFi重大进展总结》四月DeFi的焦点非dForce莫属,先是4月15日dForce基金会宣布获得150万美元的战略融资,但随后不到一周.
摘要 央行行长易纲表示将继续研究如何加强央行数字货币的风险管理;我们认为,金融科技将在央行数字货币的功能使用与监管两方面共同发挥作用.