中國去中心化金融協議平台 dForce 在 4 月 19 日遭遇駭客發起「重入漏洞攻擊」,導致 2,500 萬美元的資產被竊取,也導致 Lendf.Me 借貸平台下線。dForce 在這起攻擊事件中損失超過 99% 的資產。對此,dForce 創辦人楊民道發出聲明,表示已經掌握部分有關駭客的訊息,會向社群進一步說明解釋,同時請求用戶不要在 Lendf.Me 平台上放置任何資產。
Lendf.me 是在昨(19)日發現價值約 2,500 萬美元的以太幣與比特幣從錢包中被提領,此前,其資金市場池遭到攻擊。Lendf 是 dForce 基金會支持的兩項協議之一。
Lendf.me 並已證實,「北京時間 19 日早上 8 時 45 分於區塊高度 9899681,遭到駭客攻擊」。楊民道在聲明中表示,
北京時間早 9 點 15 分左右,我們通過內部監控系統發現了駭客的異常轉帳行為。隨即我們暫停了 Lendf.Me 和 USDx 合約,並臨時關閉網站以對駭客活動進行調查。現在調查仍在進行中,我們已經掌握了部分有關駭客的信息,目前來看駭客已經停止攻擊。
聲明指出,此次駭客攻擊主要是利用 imBTC 資產 ERC777 標準的漏洞進行了重入攻擊,也就是駭客反覆將偽造的 imBTC 作為抵押品,借出款項。由於 imBTC 是與比特幣一對一掛勾的以太坊代幣,被用於當作抵押品,駭客利害虛假的 imBTC 進行抵押,因此可幾乎是在免費的情況下提領資金。
令人摸不著頭緒的一點是,昨晚有消息傳出,慢霧安全團隊從鏈上數據監測到,Lendf.Me 攻擊者向 Lendf.Me 平台管理員帳戶轉帳歸還 126,014 枚 PAX 穩定幣,並附言「Better future」。
楊民道也在聲明中指出,截至發稿時間,「駭客試圖聯繫我們,我們也表達了溝通的意願」。
這次攻擊是瞄準以太坊 ERC-777 代幣標準的漏洞而發動。這一漏洞近期也曾被駭客用來從去中心化交易所 Uniswap 中含有 imBTC 的智慧合約中提取總額超過 30 萬美元的比特幣。imBTC 也是一種以 ERC-777 規格為基礎的代幣,由 DEX TokenIon 所運作。
當時 Tokenlon 在回應攻擊事件時,表示這次攻擊損失僅止於 Uniswap 上的 imBTC 池,受託管的比特幣沒有受到影響,同時暫時暫停 imBTC 的轉帳,並考慮下個因應行動。
楊民道透過聲明對這次事件發表道歉,表示會盡全力改善目前狀況,並且將在今晚 11 時 59 分前向社群進一步解釋說明。
這次 dForce 遭受毀滅性攻擊的不到一周前,加密貨幣創投業者 Multicoin Capital 才剛宣布率領 150 萬美元種子輪融資投資 DForce。Multicoin Capital 主管 Mable Jiang 當時表示,dForce 正在打造去中心化金融的第一個超級網絡去中心化協議,他還將這項計畫比擬為亞洲超級 App,即微信和支付寶。
依照鎖住的資產計算,在還未遭受駭客攻擊前,dForce 從去年 9 月推出的 Lendf.Me 平台已成長為第七大的去中心化協議。
流量密碼推播群,掌握第一手資訊
