Lendf.Me遭黑客攻擊損失約2470萬美元，DeFi為何安全問題頻發_END

“DeFi平臺不作惡，奈何扛不住黑客太多。”繼4月18日Uniswap被黑客攻擊損失1278枚ETH之后，4月19日上午8點45分，國產DeFi借貸協議Lendf.Me被曝遭受黑客攻擊，據慢霧科技反洗錢(AML)系統統計顯示，此次Lendf.Me累計損失約2470萬美元，具體盜取的幣種及數額為：

之后攻擊者不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣。據安全公司透露，dForce團隊追回這筆損失的可能性微乎其微，目前dForce團隊正在定位被攻擊原因，并在網頁端建議所有用戶停止往Lendf.Me協議存入資產。

DeFi平臺Atlendis已獲法國加密許可證并獲BPI銀行100萬歐元貸款:7月25日消息，法國DeFi平臺Atlendis已獲得PSAN牌照，相當于法國的加密服務提供商許可證，這表明該平臺致力于遵守法國加密法規以及即將出臺的歐洲法規MiCA。值得注意的是，PSAN注冊充當了這些新規則的模型。另外，Atlendis還從法國公共投資銀行BPI獲得了100萬歐元（合1,108,055美元）的貸款。

新產品允許直接進行加密貨幣-法幣交易，為現實世界用例提供鏈上流動性。此舉與純金融領域的許多早期區塊鏈舉措一樣，預計將通過鏈上自動化來降低成本并加快流程。[2023/7/25 15:57:21]

圖片來源于：Lendf.Me官網據Defipulse數據顯示，過去24小時內，dForce鎖倉資產美元價值下跌100%至1萬美元，而此前的鎖倉總價值超過2490萬美元。

Lens Protocol發布名為“Token Gated Publications”的新功能:1月11日消息，去中心化社交媒體協議 Lens 發布了一項名為“Token Gated Publications”的新功能。該功能旨在讓創作者向在加密錢包中持有某些代幣的成員提供內容訪問權限。Token Gated 內容可通過 Lens 的應用程序編程接口 (API) 獲得。它由 LIT 協議提供支持——一種加密機制，可讓作者和出版商安全地加密其內容并控制對其的訪問。[2023/1/11 11:06:55]

圖片來源于：Defipulse據慢霧科技反洗錢系統監測顯示，Lendf.Me攻擊者正持續不斷將攻擊獲利的PAX轉出兌換ETH，總額近58.7萬枚PAX，使用的兌換平臺包括1inch.exchange、ParaSwap等。攻擊者地址為0xa9bf70a420d364e923c74448d9d817d3f2a77822。據慢霧安全團隊分析發現，黑客此次攻擊Lendf.Me的手法與昨日攻擊Uniswap手法類似，均由于DeFi合約缺少重入攻擊保護，導致攻擊者利用ERC777中的多次迭代調用tokensToSend方法函數來實現重入攻擊，極有可能是同一伙人所為。慢霧安全團隊詳細分析了此次Lendf.Me攻擊的全過程：攻擊者首先是存入了0.00021593枚imBTC，但是卻從Lendf.Me中成功提現了0.00043188枚imBTC，提現的數量幾乎是存入數量的翻倍。那么攻擊者是如何從短短的一筆交易中拿到翻倍的余額的呢？通過分析交易流程，慢霧安全團隊發現攻擊者對Lendf.Me進行了兩次supply()函數的調用，但是這兩次調用都是獨立的，并不是在前一筆supply()函數中再次調用supply()函數。緊接著，在第二次supply()函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的withdraw()函數發起調用，最終提現。

機構證券借貸供應商EquiLend為金融市場部署區塊鏈:金色財經報道，機構證券借貸供應商EquiLend宣布，計劃使用區塊鏈為證券融資交易創建一個 \"單一真實來源\"。在全球范圍內，它每月在其主要平臺上處理 2.8 萬億美元的交易。其董事包括美國銀行、貝萊德、瑞士信貸、高盛 、摩根大通、摩根士丹利、道富銀行。該解決方案將向所有市場參與者開放，并可與任何有興趣連接的供應商或各方互操作。它目前處于設計階段。

此前，?摩根大通?開始使用自己的區塊鏈解決方案進行抵押品管理。[2022/7/14 2:13:34]

圖片來源于：慢霧安全團隊在這里，攻擊者的withdraw()調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的tokensToSend()鉤子函數的時候調用的。很明顯，攻擊者通過supply()函數重入了Lendf.Me合約，造成了重入攻擊。此次Lendf.Me協議被攻擊一事也讓大家對dForce的代碼審計方提出質疑，公開信息表明，Lendf.me協議分叉了Compoundv1代碼，而Compoundv1是trailofbits這家公司審計的。Compound創始人Leshner在Lendf.Me被盜一事發生后，也立即發推特表示：“如果一個項目無法足夠專業，無法構建自己的智能合約，而是直接復制，或者在他人智能合約的基礎上稍作修改，那么他們實際上沒有考慮安全性問題的能力或者意愿。希望開發者和用戶能從Lendf.Me事件中吸取教訓。”

去中心化借貸協議Lendf.me疑似被攻擊，目前站點已關閉:去中心化借貸協議 Lendf.me 疑似被攻擊，開發團隊在 Lendf.me 用戶界面用紅字提醒，呼吁用戶目前不要向合約存款。慢霧安全團隊也表示，發現lendf.me遭遇攻擊，目前站點已經關閉。慢霧安全團隊分析發現與昨日攻擊Uniswap手法類似，極有可能是同一伙人所為。[2020/4/19]

圖片來源于：twitter我們在此建議DeFi開發者們在設計產品時應該自主研發，建立自己的風控機制，提高風控能力。現在很多用戶擔心自己在Lendf.Me平臺的資產取不出來，根據Odaily星球日報的了解，dForce團隊正在全力處理此次攻擊事件，目前尚未給出具體的賠付方案。接連兩次的DeFi攻擊事件給我們帶來了哪些思考？

區塊鏈的社交金融平臺Social Lenidng完成基石輪融資 高德地圖創始人成從武參投:Social Lenidng已完成數千萬人民幣基石輪融資。本輪投資方為高德地圖創始人成從武和掌眾金服創始人張敬華。Social Lending是基于區塊鏈的社交金融平臺，旨在構建數字資產的金融借貸生態體系。[2018/6/14]

從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件，說明黑客已經掌握了DeFi系統性風控漏洞的要害，充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。DDEX運營負責人BowenWang曾在Odaily星球日報舉辦的「生機」云峰會上反思bZx事件的影響，“樂高的概念是因為所有積木都是樂高一家生產的，質量非常好。但是DeFi很多的部件質量參差不齊。像發生在bZx上的事情說明了一點，當你不是非常了解地基的時候，你越建越高反而越危險。”用木桶理論來解釋DeFi樂高的最大問題，DeFi系統的安全性取決于最短的那塊木板，所以DeFi樂高中只要有一個模塊出了問題，可能就會拖垮整個生態。這就需要DeFi開發者們在代碼層面不斷作出改進和更新，不要一位地追求DeFi產品的高組合性，同時也應該注重不同DeFi產品在安全上的可匹配性。此外，開發DeFi保險也可以在一定程度上緩解黑客攻擊給DeFi平臺帶來的損失，DeFi保險協議NexusMutual為bZx攻擊事件中遭受損失的用戶進行賠償已經為行業做了成功的示范。不過，DeFi保險產品目前還處于非常早期的開發階段，產品模型和運行方式尚未成熟，也缺乏統一的風險定價系統和賠付金保障機制，大部分保險平臺更像有一定保障性質、對沖幣價波動風險的衍生品工具，或者僅toB的平臺服務。總得來說，DeFi還處于發展初期，還有很多機制仍需不斷去完善，dForce作為深耕DeFi生態的優質從業者，我們也希望dForce團隊可以挺過這次危機，做好災后重建工作，重塑中國DeFi開發者們的信心。最新進展

4月20日凌晨，dForce創始人楊民道于Medium發文表示，黑客利用ERC777與DeFi智能合約的兼容問題實現重入攻擊，Lendf.Me損失了大約2500萬美元。目前，團隊正在開展如下行動：已與頂級安全公司聯系，對Lendf.Me進行更全面的安全評估；與合作伙伴一起制定一項解決方案，對該系統進行資本重組，雖然遭受了這次的襲擊，但我們不會停止腳步；正與主流交易所、OTC平臺以及相關執法部門合作，調查情況，阻止被盜資金的轉移，并追蹤黑客。此外，團隊將在北京時間4月20日晚上11:59在官方博客上提供更詳細的更新。另據鏈上信息顯示，攻擊者于4月20日凌晨3點左右，向Lendf.Me的admin賬戶轉回了38萬枚HUSD和320枚HBTC。更早之前，慢霧團隊曾監測到，攻擊者還轉回了12.6萬枚PAX，并附言“Betterfuture”。

推薦閱讀：《DeFi守護神是誰？》參考文章：《慢霧：DeFi平臺Lendf.Me被黑細節分析及防御建議》

Tags：ENDLENDEFIDEFEndgame TokenETHB Lend去中心化金融defi入門分析與理解defi幣今日行情

DAI