2020年,注定是魔幻的一年。就在剛經歷了史無前例的“負油價”之后,4月21日,我們又見證了一筆價值1.75億人民幣的“黑客退款”。
事情的經過大致是這樣的:
“重入攻擊”細節復盤
北京時間4月19日上午8點45分,中國最大的DeFi平臺dForce旗下的貸款協議Lendf.Me在區塊高度9899681遭遇黑客攻擊,短時間內,鎖在協議內的價值2482萬美元的12種幣資產幾乎全部消失,僅剩個零頭2940美元,損失約99%鎖倉資金。事件一發生,立即在DeFi世界掀起驚濤駭浪。
本次對Lendf.Me實施攻擊的攻擊者地址為??0xa9bf70a420d364e923c74448d9d817d3f2a77822,攻擊者通過部署合約0x538359785a8d5ab1a741a0ba94f26a800759d91d對Lendf.Me進行攻擊。此次攻擊中,Lendf.Me累計的損失約24,696,616美元,具體盜取的幣種及數額為:
WETH:55159.02134;WBTC:9.01152;CHAI:77930.93433;HBTC:320.27714;HUSD:432162.90569;BUSD:480787.88767;PAX:587014.60367;TUSD:459794.38763;USDC:698916.40348;USDT:7180525.081569999;
USDx:510868.16067;imBTC:291.3471。
攻擊事件回顧:
4月18日08:58
一名攻擊者利用Uniswap和ERC777的兼容性問題,通過多次迭代調用名為「tokensToSend」的方法函數來對該平臺上的ETH/imBTC交易對進行重入攻擊。
4月18日12:12
Tokenlon觀察到異常后,立刻定義為P0級安全問題,并建立緊急處理小組。
4月18日12:49Tokenlon評估安全問題后,暫停了imBTC的轉賬功能并通知Lendf.Me及其他imBTC合作伙伴自查安全風險。
4月19日8:58黑客開始對Lendf.Me合約發起攻擊。
“區塊鏈+電子證照”入選安徽省2020年度行政執法十大事件:1月28日,安徽省司法廳發布2020年度行政執法十大事件,其中包括“區塊鏈+電子證照”模式助推全省住建系統行政審批事項標準化、規范化、便利化。
省住房城鄉建設廳聚焦打造市場化、法治化、國際化營商環境,深入推進“放管服”改革和行政審批制度改革,率先創新運用“區塊鏈+電子證照”模式,有效推進了政務服務標準化、規范化、便利化落實,用“陽光”促進依法履職。2020年,通過“區塊鏈+電子證照”模式的運用,對省級核準的建設工程類企業資質和執業人員資格注冊等共12類資質資格證書進行上鏈運行,累計制作電子證書40余萬張,實現了電子證照制發、變更、注銷和使用信息等數據的全生命周期記錄,方便了持證人、用證單位和監管部門對證書的查詢、核驗和使用,提高了行政審批效能和服務群眾質量,完善了行業執法監管手段,促進了行業健康發展。[2021/1/28 14:14:25]
4月19日09:28Tokenlon收到Lendf.Me反饋,遭遇類似Uniswap事件的重入攻擊,出現大量異常借貸行為。
4月19日10:12為配合調研重入攻擊事件,Tokenlon暫停imBTC的轉賬功能。
4月19日11:32黑客完成攻擊并盜走價值兩千五百萬美金的加密數字資產。
4月19日12:57Lendf.Me和USDx合約陸續被關閉。
事情追溯至去年9月,dForce推出了去中心化網絡借貸協議Lendf.Me,用戶可以通過鏈上操作,進行數字資產存幣理財和借貸服務。Lendf.Me允許用戶以imBTC為抵押物來借出其他數字資產。
ImBTC是由數字資產錢包imtoken推出的一款在以太坊上1:1錨定BTC的Token,目的是將BTC的流動性與以太坊智能合約完美結合,持有BTC的用戶包括礦工也可以來選擇使用defi提供的借出或生息服務。
ImBTC由Tokenlon負責發行和監管,其編寫時采用的ERC-777規范被認為是通用ERC-20標準的更高級版本,可以兼容ERC-20。然而最近出現ERC-777代幣與Uniswap/Lendf.Me合約組合時,存在“重入攻擊”漏洞,尤其是在DeFi環境中使用時。
該漏洞最初在Uniswap上發生,Uniswap是另一個基于ETH的去中心化借貸協議。就在Lendf.Me被盜前一天,即4月18日,Uniswap也遭重入攻擊洗劫,ETH-imBTC資金池損失了1278枚ETH,價值約23萬美元。
ZG.COM獲“2020年度最佳品牌增長交易平臺”稱號:據官方消息,11月6日,ZG.COM應邀出席由耳朵財經主辦的“EBTC·2020未來洞見者大會”,并獲得“2020年度最佳品牌增長交易平臺”獎項。
ZG.COM市場總監Charles指出,牛市尚處于初期階段,隨著華爾街資本進一步入場,未來將會有更多的傳統資本、企業配置比特幣等加密資產。[2020/11/7 11:55:31]
與今年2月借貸協議bZx因合約漏洞導致99萬美元被攻擊者套走的安全事故不同,這一次,單個的Uniswap、Lendf.Me和imBTC本身的協議并不存在安全問題,但協議間在調用合約時出現了漏洞風險。
從攻擊的作案手法上來看,兩起事件背后的主要邏輯是黑客利用了imBTC資產所用的ERC777協議與其他Defi協議的不兼容性,發起重入攻擊,來劫持正常的事務并執行額外的非法操作。
“重入攻擊”的手法在臭名昭著的TheDao事件中也曾出現過,以太坊因此分叉。攻擊者往往通過惡意合約A來調取受攻擊合約B上的某些函數,并在B的任意位置“重新進入”代碼執行。
黑客執行了多次簡單攻擊的迭代。在每筆交易中,黑客都會將imBTC存入Lendf.me平臺,該平臺已在其帳戶余額中進行了注冊。來自同一筆交易的第二筆存款將添加少量的imBTC,這將允許使用“重新入金”來提取先前存入的代幣。
至關重要的是,ERC777的回調機制在提取資金時未能更新黑客的余額。因此,他可以自由地重復提供和撤回imBTC,每次余額都增加一倍。
于是,黑客在Lendf.Me的協議上重復鑄造出6700多枚假imBTC,并以此抵押,席卷了大約2500萬美元的各種加密貨幣和穩定幣,將資產洗劫一空。成功盜取資產后,立即通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺,將盜取的幣兌換成ETH及其他代幣,此外,還將其余部分贓款轉入了DeFi借貸平臺Compound和Aave。
簡單來說就是智能合約組合之后出現關鍵缺陷,被黑客利用了。
被盜資金“完璧歸趙”
發動攻擊后不久,有趣的事情發生了。
4月19日晚10點左右,黑客向1inch.exchange,ParaSwap和一個標識為“Lendf.meadmin”的帳戶發送了三筆交易,歸還了126,014枚PAX,總值達25萬美元,并附言「Betterfuture」。這似乎在暗示著什么,因為“pax”在拉丁語中表示“和平”。
分析 | OKB突破年度下降趨勢 后市保持期待:分析師K神表示,今日,OKChain測試網上線,OKEx宣布將會銷毀7億未流通的OKB。目前OKB流通量為286,021,636枚,初始發行量為3億枚,已經銷毀13,978,364枚。此外,OKEx公鏈測試網、DEX也于今日同步上線。受利好刺激,OKB持續拉升,突破5 USDT關口,24小時漲超25%,最高觸及5.29USDT。
技術面上,前期提示,突破19年頂點回落的周線下降趨勢通道后,后續震蕩走強的概率大些,操作上逢低布局為主,今日在利好消息的刺激下,迎來大幅拉升,從通道突破點到目前,區間漲幅高達85%,走勢相當強勢。大方向看,從前期2018年10月開始到目前的時間里,整體依然運行在一個大的上升通道里,周線MACD金叉發散向上,成交量維持較好,整體走勢健康,并且目前價格已突破18年頂點與19年頂點連線的下降趨勢壓制,結束了長期以來的弱勢局面,在目前市場整體回暖的形勢下,中長線有望突破18年最高,再創歷史新高,操作上還是逢低布局為主。[2020/2/10]
4月20日凌晨3點左右,黑客竟然分批向Lendf.ME的admin賬戶轉回了38萬余枚HUSD和320余枚HBTC,以及12.6萬PAX,總價值超過200萬美元,也就是說,黑客居然一次性退回了贓款的近十分之一。
隨后,dForce官方在推特上發布了一堆“符號碼”,疑似通過“密碼”向黑客喊話或者進行“談判”。
Lendf.me最終以溫和的語氣在鏈上向黑客留下信息,“Contactus.Foryourbetterfuture.”
更令人意想不到的是,4月21日13點40分左右起,盜取Lendf.ME的黑客竟然陸續向Lendf.ME歸還了幾乎所有盜竊的代幣,包括57,992枚ETH,425.61枚MKR,13.7萬枚DAI,50萬枚USDT,252.34枚imBTC等等。
至此,3天之間,我們見證了史上最大的一筆,總價值接近1.75億元人民幣的巨額黑客還款。縱觀整起追蹤事件,整個過程依然充滿了魔幻色彩。
看起來著實有些諷刺,但這次攻擊也提醒加密貨幣交易平臺應當更注重對交易參與者信息的收集工作,保證交易信息的透明度,從而構建真正的「Betterfuture」。
“他似乎是一名優秀的程序員,但卻是沒有經驗的黑客。”
有業內人士指出,正常情況下,黑客在盜取了這些巨額資產后,應當進行一段時間的徹底“沉默”,待事件逐漸“平息”后,通過“混幣”、“粉塵化”等手法進行“洗幣”,然后再逐步套現。
聲音 | 分析師:比特幣的年度低點價格也是一種趨勢:加密貨幣分析師Rhythm最近發推稱,比特幣的年度低點價格,2012年:4美元,2013年:65美元,2014年:200美元,2015年:185美元,2016年:365美元,2017年:780美元,2018年:3200美元,2019年:3400美元,這幾乎也是一種趨勢。[2019/12/13]
之所以選擇第一時間還幣,最有可能的是黑客本人的真實身份已經被dForce所掌握,通過dForce的溝通和談判,從而追回了全部損失。
而這位黑客在開展攻擊前,很可能并沒有做好萬全的準備,只是臨時起意,以至于拿到1.75億的巨額數字資產后,一不小心就漏出了破綻。
剛開始返回12.6萬的PAX,讓人覺得是在侮辱平臺。不過后面再次返還更多資產,也有人覺得此次事件中的黑客可能是具有真正“黑客精神”的計算機極客,想通過這種“大事件”,指出行業漏洞,引領行業發展。
對此,區塊鏈安全公司慢霧科技建議,DeFi協議的單一開發方在接入第三方協議時,應充分考慮平臺本身的業務邏輯與接入方協議和資產的兼容性,以避免因兼容性發生不必要的安全問題。交易所、錢包應注意加強地址監控,避免相關惡意資金流入平臺。
Lendf.Me事件敲響安全警鐘
意外事件發生后,dForce平臺能夠積極處理、力挽狂瀾,固然體現了平臺本身的責任感。然而,技術上出現的重大漏洞,也為整個行業敲響了警鐘。
加密貨幣被盜事件已不是第一次發生。黑客對加密貨幣的強烈渴望隨著加密貨幣的價值攀升愈發強烈,他們通過利用合約漏洞、入侵網站、攻擊加密錢包等多種方法盜竊加密貨幣,給加密貨幣持有者帶來了不小的損失。
少數觀點認為,黑客的行為利用了合約漏洞,某種意義上是被合約所允許的。但是代碼有漏洞不等于平臺同意,盜竊行為的本質并沒有發生改變,黑客理應為他們的行為承擔刑事責任。
事實上,包括盜竊行為在內,黑客針對加密貨幣所進行的的犯罪行為都會受到刑事法律的規制,從判決結果來看,黑客也將面臨較為嚴厲的刑罰。本案中,黑客的攻擊行為造成了Lendf.Me約2500萬美元的資產損失,刑事制裁在所難免。
動態 | 2020年度山東省科學技術獎勵現已啟動提名,將加大對區塊鏈等新型產業的支持:據大眾日報消息,記者20日從山東省科技廳獲悉,2020年度山東省科學技術獎勵現已啟動提名。按照科技支撐八大發展戰略實施的要求,2020年度山東省科技獎勵將進一步加大對新興產業的鼓勵引導力度,對區塊鏈與人工智能、生物技術、創新藥物、高端醫療器械、現代海洋等新興產業的技術成果重點支持。[2019/11/21]
犯罪行為本身的應罰性毋庸置疑,但加密貨幣定性的不同可能指向不同的罪名,這點在我國表現的尤為突出。在加密貨幣的性質歸屬上,我國并沒有形成一致的觀點,加密貨幣被盜面臨著盜竊罪和非法獲取計算機信息系統數據罪兩個不同的保護路徑,前者肯定了加密貨幣的財產屬性,后者則將加密貨幣視為信息。需要注意的是,兩者在量刑上存在較大差距,盜竊罪量刑要遠遠高于非法獲取計算機信息系統數據罪,這給司法實務留下了很大的不確定性。
不止我國,包括美國在內的一些國家在加密貨幣的定性上也未能達成一致:
美國商品期貨交易委員會將加密貨幣視為商品;美國證券交易委員會將符合HOWY測試的加密貨幣視為證券;美國金融犯罪執法網絡將加密貨幣視為在一種特定情況下扮演貨幣功能的交換媒介,可以適用貨幣規則;美國國稅局將加密貨幣視為一種財產,具有合法的財產屬性,需繳納稅收。
賦予加密貨幣明確的定性是各國都在努力的方向,對于更好的引導、管理加密貨幣活動具有重要的意義。
黑客通過非法手段獲得的加密貨幣,俗稱“黑錢”,難以安全地使用。為了避免機關的追蹤,勢必要對資金進行掩飾,使其看起來“清白”。因此,黑客通常借助交易所和OTC交易商的力量,通過復雜的交易使資金來源難以追溯。正如此次攻擊中,黑客不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣,完成代幣的轉移。
從執行角度看,區塊鏈的不可篡改性的確為追蹤資金去向提供了可能,但去中心化的特征也為黑客隱匿身份創造了空間。他們先將加密貨幣分散,再進行洗錢、提幣、洗幣等操作,步驟相當繁瑣。資金經過拆分轉入不同的地址,大額的資金會沿著前進方向進一步小額拆分,進而構建出更為復雜的資金網絡,加大追蹤偵測的難度。
但洗錢過程并非難以察覺,黑客盜竊的目的最終是為了變現,而變現的途徑無非是場外交易或交易所交易。如果交易所和OTC交易商能夠做好客戶信息搜集、盡職調查和信息保存工作,并能將動態及時上報,那么非法資金的流動是可以被及時發現并引起注意的。并在最大程度上切斷資金外流通道,追回贓款,挽回加密貨幣持有人的損失。監管機構或調查金融犯罪等機構也得以通過搜集到的各方面信息進行梳理、比對,逐步還原資金流向。
然而,加密貨幣能夠全球性流通,追蹤過程無法靠一己之力完成,還需要借助國內外等多方力量的協助,執行起來要復雜得多,即便能夠準確定位黑客的身份和位置所在,將丟失的加密貨幣全部追回的可能性也并不大。
加密貨幣安全公司CipherTraceCEODavidJevans曾表示,當交易平臺或交易所遭到黑客攻擊,由于加密貨幣可以輕易地跨越不同的國界,只有20%的被盜加密貨幣能夠找回。
接連兩次的攻擊都在警示我們,保障加密貨幣的安全不能僅依靠區塊鏈技術本身的優勢,可以看到黑客已經掌握了DeFi系統性風控漏洞的要害,無論是加密平臺還是加密貨幣持有者,都應當提高風險防范意識。
對加密平臺而言,盡可能的彌補技術短板,提升交易信息的透明度,并完善相應的反洗錢預警機制,在第一時間對加密貨幣風險作出反應。
對加密貨幣持有者而言,無論是反洗錢機制還是刑事法律制裁,都只能起到事后救濟的作用,而目前制度框架還處在搭建和完善中,未必能提供強有力的保護。因此,提高警惕心理,妥善保管交易密鑰,強化賬戶認證端口才能盡到最大程度的事前防范。
“飛船”起飛爆炸,DeFi就此滅亡?
“我對于官方能給補償什么的,基本不抱希望。”DeFi借貸協議Lendf.Me資產被盜后,多數投資者存放在平臺上的資產打了水漂,“白特冪”便是其中之一。他在社交平臺上表示自己存入Lendf.Me用來理財的USDT因該協議被攻擊而消失一空,但他覺得開發團隊的賠付能力不足,并透露出放棄追索的想法。
“前陣子,這個DeFi項目成為了Multicoin資本投資的第一個開放金融項目,跟投的包括火幣、招銀國際等知名資本方,但也融到了不過150萬美元。就目前的情況看,我不認為團隊有能力填補眼前近2500萬美元的資產損失。”
這個事件背后,另外一個魔幻的地方在于,國外加密貨幣圈子的朋友,相當部分嘲諷起了Lendf.me,甚至是整個中國的相關區塊鏈項目。
在區塊鏈創業賽道里,中國團隊集中分布在公鏈、Dapp領域,做Lendf.me這樣協議類的團隊非常少。而中國的“區塊鏈項目”,似乎被太多的資金盤項目給污名化了,導致在部分外國朋友眼中看來,中國的項目就是空氣、詐騙。
“如果你真的信任中國的DeFi協議,你可以換個新工作了”
“我們應該提供這樣一項咨詢服務,如果有人想在并不了解的中國項目里投資,我們只需要告訴他們別投資,就可以拿到3成咨詢費了。”
“你真的會相信中國的DeFi項目?”
與現有的銀行、證券交易所等中心化金融系統不同,DeFi的創建們希望能用代碼和智能合約創造一個無需審查權限、地位平等、人人可參與的開放金融生態。DeFi大規模發展的基礎設施是各種去中心化協議,從功能上看,這些協議包含了發行資產、交易、抵押借貸、融資等各種現實世界中存在的金融職能,且可利用智能合約的橋接,讓各種功能在一個體系內實現。
理想是美好的,現實總是很殘酷。DeFi無法逃脫中心化系統也可能面臨的風險,包括安全風險和經濟危機,在抗風險能力上,還沒有中心化系統強大。
進入2020年,DeFi領域幾乎每個月都發生了大規模的資產風險事件。其中既包括像bZx、Lendf.Me出現的技術風險,也包括MakerDao在“3·12”市場劇烈波動下的流動性風險。此次,Uniswap和Lendf.Me兩協議先后遭攻擊,2500多萬美元的資產被盜,DeFi金融基礎設施再次暴露了脆弱性。
今年2月,在ETHDenver大會期間,黑客在15秒內連續利用Dydx、Compound、Uniswap、bZx和Kyber總共5個DeFi產品,一頓操作成功套利35萬美元。全程15秒鐘,1分錢都沒有花,變戲法一樣獲得了超過35萬美元的收益,而且這一系列操作,絲毫不違規,完全是一次完美合法的套利行動。
DeFi金融系統和它的基建成員們,既要面對智能合約漏洞遭黑客攻擊的風險,也存在貸款的結構性缺陷;如果出現濫用職權的超級管理員突破道德約束,還將面臨毀滅性的打擊;bZx漏洞事件暴露出了潛在的市場操縱風險;“3·12”的市場大跌又讓外界一睹DeFi在市場流動性風險到來時的應對局促。
DeFi的目標應該是讓無法享受金融服務的人也能無門檻地獲得金融服務,改善生活甚至改變命運,而不應該是讓用戶成為炮灰。財產安全問題得不到保障,DeFi做得再出色,也不會有用戶。
不可否認的是,無需權限、抗審查、開放性的DeFi金融體系依然十分脆弱,建設者們仍舊需要在一次次的風險中鞏固基礎設施。
DeFi作為一種全新的范式轉移,開啟了新興的金融模式之路,會在一定程度上改善我們的基礎金融業務,未來依然令人激動。然而,如何保障其安全性,是今后區塊鏈從業者必須要解決的問題。
總之,安全永遠排在第一位。道阻且長,前途是光明的,道路是曲折的。
投資者如何平衡風險及收益?
想要獲得收益,必須接受風險。不確定性是這個世界的本質屬性。
目前,不同的DeFi產品,風險各不相同。抵押借貸類DeFi產品的風險包括:
智能合約代碼安全性引入的風險;
智能合約AdminKey引入的運營風險;
持有特定資產本身的風險;
抵押借貸類DeFi本身的市場風險
智能合約平臺的風險;
用戶自身私鑰管理的風險。
針對智能合約代碼安全性引入的風險,安全審計報告是規避智能合約風險的第一道關口,也是最重要的關口,也是目前唯一能前置規避智能合約風險的措施,我們需要更加重視平臺關聯的審計報告。時間是最好的檢驗,經過長時間有效實戰檢驗的智能合約,風險將顯著降低。
針對智能合約AdminKey引入的運營風險,用戶需要檢查運營方是否主動披露AdminKey權限、AdminKey的權限范圍,以及對AdminKey權限是否設置了延時生效機制。延時生效機制是防范AdminKey的侵入式權限對用戶造成傷害的有效防御手段,同時也是反應運營方態度的關鍵看點。同時,用戶可以檢查持有AdminKey權限的運營方本身的信譽,其所處的司法管轄區是否能起到有效的保護作用。
對于用戶來說,學習相關知識,建立一套完善的、適合自身的私鑰管理體系,是非常重要的。其中備份、保密機制、物理存放安全以及人身事故后的預案。同時可以通過使用智能錢包規避私鑰管理的風險。另外,從投資的角度,務必遵守“分散原則”。
編者注:原標題為《G20:全球主要經濟體需要填補監管空白,避免Libra等穩定幣破壞金融穩定》20國集團本周二表示,全球主要經濟體需要填補其規則手冊中的空白.
1900/1/1 0:00:00加密交易所Gemini聯合創始人及企業家CameronWinklevoss在推特上發表推文說,新冠病大流行將成為比特幣歷史性的拐點.
1900/1/1 0:00:00來源:LongHash 普遍意見認為價格波動性是比特幣無法在主流大眾間獲得更高的采用率的主要原因之一。然而,真相或許很不一樣。許多人恰恰是因為比特幣極端的價格波動才被它吸引的。想想看.
1900/1/1 0:00:00本周全球金融資產較為穩定,原油表現較差,黃金及美股都有較為亮眼的市場表現,BTC和ETH重新站穩7000點位.
1900/1/1 0:00:00一、比特幣減半 1.1減半概念介紹 中本聰當初在設計比特幣體系的時候,為了控制比特幣的總體發行量(本質上是在模擬黃金,由于黃金儲量有限,挖掘速率會越來越慢,因此比特幣也被成為數字黃金.
1900/1/1 0:00:00本文來源:中國證券報 作者:焦源源 央行數字人民幣體系(DC/EP)近期內測引發市場關注,光大證券首席經濟學家彭文生近日接受中國證券報記者專訪時表示,預計在不久的將來.
1900/1/1 0:00:00