DeFi 出现严重信任危机：继 Uniswap 后，Lendf Me 2500 万美元被盗，网友笑称其为“黑客提款机”！

黑客越来越“猖狂”了。

据外媒报道，4月19日上午，国产DeFi借贷协议Lendf.Me被曝遭受黑客攻击，据悉，黑客利用imBTC的ERC777合约漏洞来实现重入攻击，Lendf.Me损失了大约2500万美元。据安全公司透露，dForce团队追回这笔损失的可能性微乎其微，目前dForce团队正在定位被攻击原因，并在网页端建议所有用户停止往Lendf.Me协议存入资产。而在今日上午，攻击者目前共向DeFi借贷协议Lendf.Me归还38万枚HUSD、320枚HBTC和12.6万枚PAX，并留下纸条：“下次好运”。

网友也笑称其为“黑客提款机”。

什么是Lendf.Me？

可能很多童鞋对Lendf.Me是什么还很陌生，所以在这之前，雷锋网先带大家了解下Lendf.Me是什么。

简单来说，Lendf.Me是dForce旗下的一个借贷协议。

据其官网介绍，dForce是一个基于区块链的去中心化金融和货币协议平台，同时也是第一个获得世界领先商业银行战略投资的稳定币和DeFi协议平台，旨在为开放式金融应用程序提供底层基础设施。团队核心成员来自高盛、渣打、花旗、弘毅等顶尖金融机构的精英人员和数字货币行业的早期参与者。

THORChain：DeFi上的无息借贷是真实存在的:金色财经报道，THORChain技术主管Chad Barraford在0xResearch播客节目上表示，DeFi上的无息借贷是真实存在的，其去中心化借贷机制能够在不支付任何利息的情况下承担以美元计价的债务，该工具最近在 THORChain 协议上激活，甚至可以避免清算和到期，该服务可以针对本地L1资产（包括比特币和以太币）中的用户抵押品提供无息贷款，并计划增加更多资产。[2023/8/31 13:07:57]

2019年9月，dForce首个由社区开发者主导开发的去中心化借贷协议Lendf.Me正式发布。据其官网介绍，Lendf.Me是基于全球资金池模式的去中心化货币市场，可以为用户提供灵活、便捷的理财和贷款服务，其中包括：

USDx生息：活期理财，随存随取；USDx贷款：抵押ETH，获得USDx贷款。针对存款方：

DeFi隐私桥Aztec聚合器ZK.Money总存储量已超1500ETH:7月13日消息，据Dune Analytics的数据显示，DeFi隐私桥Aztec聚合器ZK.Money总存储量已超1500枚ETH，已有6873单一用户地址使用，平均存储0.19ETH，最大单笔存储为32.01ETH。[2022/7/13 2:09:49]

将USDx存入http://Lendf.Me获取利息收入；闲置资金活期理财，更高收益、更低风险、更好的流动性。针对借贷方：

避免卖币套现错失资产升值的用户：不用变卖手上的数字资产，通过抵押的方式参与USDx借贷，通过支付少量的贷款利息，获取更高的资产增值。需要更多资金投资优质资产的用户：通过资产抵押的方式获取流动现金，投资于优质标的，加快资产增长速度。值得注意的是，用户通过Lendf.Me进行USDx存款不收取任何费用；申请USDx贷款只需要承担0.05%的一次性手续费。

那么，黑客又是如何对其攻击的呢？

Lendf.Me2500万美元被洗劫一空

据外媒ZDnet报道，黑客似乎把不同区块链技术的漏洞和合法功能联系在一起，精心策划了一场复杂的“重入攻击”。而重入攻击允许黑客在原始交易被批准或拒绝之前，在一个循环中反复提取资金。

DeFi基准利率持续下跌至7.93%:金色财经报道，据同伴客数据显示，04月22日DeFi去中心化金融基准利率为7.93%，较前一日下跌0.4%。同期美国国债抵押回购率（Repo Rate）为0.02%，二者利率差为7.91%。

注：DeFi基准利率代表了DeFi融资难易程度，利率越高说明融资成本越高，利率越低说明融资成本越低。其与Repo Rate的利率差则便于DeFi与传统市场作进行同类比较。[2021/4/22 20:47:58]

尽管该攻击的细节尚未透露，但值得注意的是，在1月份，Lendf.Me与imBTC集成。4月18日，imBTC在Uniswap去中心化交易所的流动池被攻击，导致价值约30万美元的代币损失。

通过初步分析，安全研究人员认为Uniswap和Lendf.me手法类似，极有可能是同一伙人所为。

Uniswap和Lendf.me的相似之处在于，这两个平台都在使用：Lendf.me协议、imBTC和ERC-777。

雷锋网了解到，imBTC是imToken推出的以太坊区块链上的BTC代币，ERC777是在ERC20基础上推出的代币标准，兼容ERC20，并在ERC20的基础上增加了一些新的特性。

Acala全球开放贡献者YuZhu：辨别Defi项目需从产品设计等角度去衡量:金色财经现场报道，在金色财经主办的 “金色沙龙第59期上海站：“DeFi-2021发展形势与投资价值分析”的活动圆桌环节中，Acala 全球开放贡献者 YuZhu发言指出：关于Defi投资策略，第一点是产品层面，如产品是否拥有应用场景，是否能提高用户的资产利用率；第二点是在技术层面。技术层面就是说首先团队技术能力要强，不管是在波卡还是其他的生态里，都要看这个团队在这个领域的技术能力和技术经验是否丰富。第三要看社区和市场合作，如社区运营方面等，需要中西方平衡，如果仅仅只聚焦一个市场的用户，那么可能在半年或一年之内就会发现用户增长的瓶颈。所以我觉得要辨别一些项目，是需要从产品设计、技术能力，用户教育以及社区市场方面等角度去衡量。[2021/1/22 16:47:37]

imBTC本身并没有安全问题。但ERC-777代币与Lendf.Me合约组合，就会产生重入攻击漏洞。

正是如此，黑客才能利用漏洞，在Lendf.Me上重复铸造出了6700多枚假的imBTC，并以此为抵押，将Lendf.Me上的资产洗劫一空，并立即不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币，还将其余部分赃款转入了借贷平台Compound和Aave。

当前DeFi借贷总量为12.30亿美元:金色财经报道，据DeBank数据显示，当前DeFi借贷总量约为12.30亿美元。其中，Compound平台约9.84亿美元，占总体份额80.02%，Maker平台约1.91亿美元，占总体份额15.59%，Aave平台约3303万美元，占总体份额2.68%。注：DeFi其实质是基于一套开放的账户体系，保证全球任何人都可以无门槛使用的一系列金融服务。这些金融服务主要由一些开源的智能合约来提供，整个服务的代码和账目都可以在区块链上进行公开审计。[2020/7/14]

截止目前，Lendf.Me2500万美元被洗劫一空，虽然攻击者今日归还了部分，但依旧杯水车薪，同时其安全性也受到业内同行的质疑。

Compound创始人Leshner在Lendf.Me被盗一事发生后，也立即发推特表示：

“如果一个项目无法足够专业，无法构建自己的智能合约，而是直接复制，或者在他人智能合约的基础上稍作修改，那么他们实际上没有考虑安全性问题的能力或者意愿。希望开发者和用户能从lendf.Me事件中吸取教训。”

dForce创始人杨民道也立即发声明称：目前团队正在积极补救，包括：

1.与顶尖安全团队合作，对Lendf.Me进行更为全面的安全评估；

2.与合作伙伴积极探讨可行的解决方案。虽然我们遭遇了攻击，但我们不会就此被打倒。

3.与主流交易所、OTC交易商、机构积极配合展开相关调查，竭尽全力追索被盗款项，追踪黑客动态。

为此，安全研究人员也解释了DeFi为何总是被黑客攻击：DeFi的最大特性在于其开放性：一是对用户的开放性，二是合约间的开放性，所以DeFi只要有一个模块出了问题，可能就会拖垮整个生态，因此极易成为黑客的攻击目标。从今年年初的bZx攻击事件再到Uniswap和dForce的攻击事件，已经充分说明黑客已经掌握了DeFi系统性风控漏洞的要害，充分利用DeFi的可组合性对DeFi接二连三地实施攻击。

所以安全研究人员建议DeFi开发者们在代码层面不断作出改进和更新，不要一位地追求DeFi产品的高组合性，同时也应该注重不同DeFi产品在安全上的可匹配性。

附dForce声明：

2020年4月19日，dForce生态里的货币市场Lendf.Me遭遇黑客攻击，导致市值约两千五百万美金的资产从合约里被取出。

北京时间早9:15分左右，我们通过内部监控系统发现了黑客的异常转账行为。随即我们暂停了Lendf.Me和USDx合约，并临时关闭网站以对黑客活动进行调查。现在调查仍在进行中，我们已经掌握了部分有关黑客的信息，目前来看黑客已经停止攻击。

此次黑客攻击主要是利用imBTC资产ERC777标准的漏洞进行了重入攻击。回调机制允许黑客反复将伪造的imBTC作为抵押物借出款项。

截至发稿，黑客试图联系我们，我们也表达了沟通的意愿。

此次攻击伤害到的不仅仅是我们的用户、合作伙伴，同时也严重伤害了我、我的合伙人以及整个团队的利益。我个人也在本次黑客攻击中遭到了严重的经济损失。

这次意外是我的失误，我有勇气面对接下来的挑战。虽然不一定能完全规避该类恶性事件的发生，但我们本该采取更好的预防措施。我会尽全力改善目前的状况，同时也真诚地向我们的用户、投资人、合作伙伴道歉，对不起，我们让大家失望了。

我们将于北京时间2020年4月20日23:59分前，向社区提供进一步的说明解释。

自事发至今，我们一直努力在寻求妥善的解决方案，包括：

1.与顶尖安全团队合作，对Lendf.Me进行更为全面的安全评估；

2.与合作伙伴积极探讨可行的解决方案。虽然我们遭遇了攻击，但我们不会就此被打倒。

3.与主流交易所、OTC交易商、机构积极配合展开相关调查，竭尽全力追索被盗款项，追踪黑客动态。

虽然此次黑客攻击对我们造成了严重的伤害，但我们不会就此一蹶不振。自事发起至今，我收到了无数的慰问、鼓励和支持。我对dForce社区给予我们的关怀与帮助深表感激，我们也将继续努力奋战，不会放弃任何希望。

dForce创始人

杨民道

雷锋网雷锋网雷锋网

参考资料：

https://decrypt.co/26033/dforce-lendfme-defi-hack-25m

https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/

https://www.theblockcrypto.com/linked/62346/multicoin-capital-backed-defi-protocol-dforce-loses-25m-total-locked-value-in-an-exploit

https://www.coindesk.com/attacker-drains-decentralized-protocol-dforce-of-25m-in-weekend-attack

https://mp.weixin.qq.com/s/wRiWOZKRfpQfAwwJ2K9-sg

https://github.com/OpenZeppelin/exploit-uniswap

标签：BTCdForceUSDBTCs是不是黄了btc钱包官网btc短线交易局dForce币是什么币USD币USD价格

XMR热门资讯