中国去中心化金融协议平台 dForce在4月19日遭遇骇客发起「重入漏洞攻击」,导致2,500万美元的资产被窃取,也导致Lendf.Me 借贷平台下线。dForce在这起攻击事件中损失超过99% 的资产。对此,dForce创办人杨民道发出声明,表示已经掌握部分有关骇客的讯息,会向社群进一步说明解释,同时请求用户不要在Lendf.Me平台上放置任何资产。
Lendf.me是在昨(19)日发现价值约2, 500万美元的以太币与比特币从钱包中被提领,此前,其资金市场池遭到攻击。Lendf是 dForce基金会支持的两项协议之一。
Lendf.me并已证实,北京时间19日早上8时45分于区块高度98996 81,遭到骇客攻击。杨民道在声明中表示,
北京时间早9点15分左右,我们通过内部监控系统发现了骇客的异常转帐行为。随即我们暂停了Lendf.Me和USDx合约,并临时关闭网站以对骇客活动进行调查。现在调查仍在进行中,我们已经掌握了部分有关骇客的信息,目前来看骇客已经停止攻击。
声明指出,此次骇客攻击主要是利用imBTC资产ERC777标准的漏洞进行了重入攻击,也就是骇客反覆将伪造的imBTC作为抵押品,借出款项。由于imBTC是与比特币一对一挂勾的以太坊代币,被用于当作抵押品,骇客利害虚假的imBTC进行抵押,因此可几乎是在免费的情况下提领资金。
令人摸不着头绪的一点是,昨晚有消息传出,慢雾安全团队从链上数据监测到,Lendf.Me攻击者向 Lendf.Me平台管理员帐户转帐归还126,014枚PAX稳定币,并附言「Better future」。
杨民道也在声明中指出,截至发稿时间,「骇客试图联系我们,我们也表达了沟通的意愿」。
这次攻击是瞄准以太坊ERC-777代币标准的漏洞而发动。这一漏洞近期也曾被骇客用来从去中心化交易所Uniswap中含有imBTC的智慧合约中提取总额超过30万美元的比特币。imBTC也是一种以ERC-777规格为基础的代币,由DEX TokenIon所运作。
当时Tokenlon在回应攻击事件时,表示这次攻击损失仅止于Uniswap上的imBTC池,受托管的比特币没有受到影响,同时暂时暂停imBTC的转帐,并考虑下个因应行动。
杨民道透过声明对这次事件发表道歉,表示会尽全力改善目前状况,并且将在今晚11时59分前向社群进一步解释说明。
这次dForce遭受毁灭性攻击的不到一周前,加密货币创投业者Multicoin Capital 才刚宣布率领150万美元种子轮融资投资DForce。Multicoin Capital主管Mable Jiang当时表示,dForce正在打造去中心化金融的第一个超级网络去中心化协议,他还将这项计画比拟为亚洲超级App,即微信和支付宝。
依照锁住的资产计算,在还未遭受骇客攻击前,dForce从去年9月推出的Lendf. Me平台已成长为第七大的去中心化协议。