DeFi 出现严重信任危机：继 Uniswap 后，Lendf Me 2500 万美元被盗，网友笑称其为“黑客提款机”

黑客越来越“猖獗”。

据海外媒体报道，国内DeFi 借贷合约Lendf.Me 于4 月19 日上午被曝遭受黑客攻击，据称黑客利用imBTC 的ERC 777 合约漏洞发起重入攻击。 Lendf.Me 损失约2500 万美元。据安全公司称，dForce 团队极不可能挽回这一损失，目前dForce 团队正在查明攻击源头，并已向该网页上的所有用户发出访问其资产的警告Lendf.Me 协议。我们建议您取消存款。截至今天上午，攻击者共向DeFi 借贷合约Lendf.Me 返还380,000 HUSD、320 HBTC 和126,000 PAX，并留下一张纸条，上面写着“下次祝你好运”。

网友还戏称其为“黑客自动提款机”。

Lendf.Me是什么？可能很多童鞋还不熟悉Lendf.Me是什么。在此之前，请先了解雷锋网Lendf.Me是什么。

简单来说，Lendf.Me 是dForce 旗下的借贷协议。

据其官网介绍，dForce是一个基于区块链的去中心化金融（DeFi）和货币协议平台，也是第一个获得全球领先商业银行战略投资的稳定币和DeFi协议平台，我们的目标是提供一个平台。为金融应用提供底层基础设施。团队核心成员由来自高盛、渣打、花旗、Honey Capital等顶级金融机构的精英人才以及数字货币行业的早期参与者组成。

2019年9月，由社区开发者开发的dForce首个去中心化借贷协议Lendf.Me正式发布。据官网介绍，Lendf.Me是一个基于全球资金池模式的去中心化金融市场，可以为用户提供灵活便捷的理财和借贷服务，例如：

赚取USDx 利息：立即管理您的财务，随时存款和取款。

USDx 贷款：抵押您的ETH 以获得USDx 贷款。

对于储户：

充值USDx至http://Lendf.Me，获得利息收入。

目前闲置资金理财，收益较高，风险较低，流动性较好。

对于贷方：

不想卖币而错过资产增值的用户：无需出售数字资产或通过抵押参与USDx融资，只需支付少量贷款利息即可获得更高的资产增值，即可获得

需要更多资金投资优质资产的用户：通过资产抵押获得流动现金，投资优质标的，加速资产增长。

值得注意的是，用户可以通过Lendf.Me免费存入USDx，申请USDx贷款只需支付0.05%的一次性费用。

那么黑客是如何进行攻击的呢？

据海外媒体ZDnet报道，黑客似乎通过将各种区块链技术的漏洞与合法功能联系起来，精心策划了一次复杂的“重入攻击”。重入攻击允许黑客在原始交易被批准或拒绝之前循环重复提取资金。

尽管攻击细节尚未披露，但值得注意的是，Lendf.Me 在1 月份与imBTC 集成，imBTC 是一种与BTC 挂钩的以太坊代币。 4 月18 日，Uniswap 去中心化交易所imBTC 流动性池遭到攻击，导致价值约30 万美元的代币损失。

通过初步分析，安全研究人员认为Uniswap和Lendf.me使用相似的技术，并且很可能由同一组织运营。

Uniswap 和Lendf.me 的相似之处在于，两个平台都使用Lendf.me 协议、imBTC 和ERC-777。

雷锋网了解到，imBTC是imToken推出的以太坊区块链上的BTC代币。 ERC777是基于ERC20开始的代币标准。它兼容ERC20，并在ERC20的基础上增加了一些新功能。

imBTC 本身不存在安全问题。然而，ERC-777 代币和Lendf.Me 合约的结合会产生重入攻击漏洞。

正是这样，黑客利用该漏洞在Lendf.Me上反复铸造了6700多个假imBTC，并以此作为抵押品掠夺了Lendf.Me上的所有资产，并立即使用了1英寸，您可以继续这样做。exchange、ParaSwap DEX 平台、Tokenlon 等将被盗币转换为ETH 和其他代币，并将剩余被盗资金转移到借贷平台Compound 和Aave。

到目前为止，Lendf.Me 已被盗走2500 万美元，虽然攻击者今天归还了部分资金，但仍然只是杯水车薪。与此同时，其安全性也受到同行的质疑。

在Lendf.Me 盗窃事件发生后不久，Compound 创始人Leshner 也发布了以下推文：

“如果一个项目不够专业，无法构建自己的智能合约，直接复制或稍微修改别人的智能合约，那么它就没有真正的能力和意愿去考虑安全问题。希望开发者和用户能够学**这个。”伦多夫我事件。 ”

dForce创始人杨明道也很快发表了如下声明：目前团队正在积极进行修复，具体包括：

1. 与您的顶级安全团队合作，对Lendf.Me 进行更全面的安全评估。

2.与合作伙伴合作，积极探索可能的解决方案。即使受到攻击，我们也不会输。

3、积极配合主流交易所、场外交易商、公安机关开展相关调查，追回被盗资金，全力追踪黑客动向。

正因为如此，这位安全研究员还解释了为什么DeFi 总是受到黑客攻击。 DeFi最大的特点就是开放性。首先是对用户的开放，其次是合约之间的开放。这意味着，只要有一个DeFi 模块存在，任何问题都可能导致整个生态系统瘫痪，并使其成为黑客轻易攻击的目标。从今年初的bZx攻击，到对Uniswap、dForce的攻击，黑客们正在解锁DeFi系统性风控漏洞，利用DeFi的全面可组合性对DeFi发起攻击，这已经充分证明，他们正在接二连三地进行攻击。其他。

因此，安全研究人员鼓励DeFi 开发者不断完善和更新代码水平，关注不同DeFi 产品的安全兼容性，而不是一一追求DeFi 产品的高可配置性，我们建议大家这样做。

附上dForce 声明。

2020 年4 月19 日，dForce 生态中的币市Lendf.Me 遭到黑客攻击，导致市值约2500 万美元的资产从合约中撤回。

北京时间9:15左右，我们通过内部监控系统发现了黑客的异常转账行为。我们立即暂停了Lendf.Me 与USDx 的合同，并暂时关闭该网站，同时调查黑客活动。调查仍在进行中，并已获得有关黑客的一些信息，但黑客似乎已经停止了攻击。

黑客攻击主要利用imBTC资产ERC777标准中的漏洞进行重入攻击。回调机制允许黑客反复借出假imBTC作为抵押品。

截至撰写本文时，黑客正在尝试联系我们，我们已表示愿意进行沟通。

这次攻击不仅伤害了我们的用户和合作伙伴，也严重损害了我、我的合作伙伴以及整个团队的利益。我本人也因这次黑客攻击而遭受了重大的经济损失。

这次事故是我的错误，也给了我接受下一次挑战的勇气。虽然我们可能无法完全避免此类恶意事件，但我们应该采取更好的预防措施。我们正在努力改善目前的情况，对于给我们的用户、投资者和合作伙伴带来的不便，我们深表歉意。

我们将于北京时间2020年4月20日23:59分钟向社区提供进一步的详细信息。

自该事件发生以来，我们一直在努力寻找合适的解决方案，具体如下：

1. 与您的顶级安全团队合作，对Lendf.Me 进行更全面的安全评估。

2.与合作伙伴合作，积极探索可能的解决方案。即使受到攻击，我们也不会输。

3、积极配合主流交易所、场外交易商、公安机关开展相关调查，追回被盗资金，全力追踪黑客动向。

这次黑客攻击给我们造成了重大损失，但我们不会放过它。自事件发生以来，我收到了无数的慰问、鼓励和支持的信息。我们深深感谢dForce社区给予我们的关心和支持，我们将继续努力奋斗，永不放弃希望。

d力创始人

杨明道

雷凤网络雷凤网络雷凤网络

参考：

[1]https://decrypt.co/26033/dforce-lendfme-defi-hack-25m

[2]https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/

[3]https://www.theblockcrypto.com/linked/62346/multicoin-capital-backed-defi-protocol-dforce-loses-25m-total-locked-value-in-an-exploit

[4]https://www.coindesk.com/attacker-drain-decentralized-protocol-dforce-of-25m-weekend-attack

[5]https://mp.weixin.qq.com/s/wRiWOZKRfpQfAwwJ2K9-sg

[6]https://github.com/OpenZeppelin/exploit-uniswap