DeFi現嚴重信任危機：Lendf Me2500萬美元被盜，網友：黑客提款機_BTC:USD價格

黑客越來越“猖狂”了。

據外媒報道，4月19日上午，國產DeFi借貸協議Lendf.Me被曝遭受黑客攻擊，據悉，黑客利用imBTC的ERC777合約漏洞來實現重入攻擊，Lendf.Me損失了大約2500萬美元。據安全公司透露，dForce團隊追回這筆損失的可能性微乎其微，目前dForce團隊正在定位被攻擊原因，并在網頁端建議所有用戶停止往Lendf.Me協議存入資產。而在今日上午，攻擊者目前共向DeFi借貸協議Lendf.Me歸還38萬枚HUSD、320枚HBTC和12.6萬枚PAX，并留下紙條：“下次好運”。

網友也笑稱其為“黑客提款機”。

什么是Lendf.Me？

可能很多童鞋對Lendf.Me是什么還很陌生，所以在這之前，雷鋒網先帶大家了解下Lendf.Me是什么。

簡單來說，Lendf.Me是dForce旗下的一個借貸協議。

以太坊DeFi協議Cream Finance遭受攻擊，損失1.15億美元:金色財經報道，DeFi借貸協議CreamFinance再次遭受攻擊，損失達1.15億美元。被盜的資金主要是CreamLP代幣和其他ERC-20代幣。PeckShield發現了一筆用于實施這一攻擊行為的大額閃電貸。根據區塊鏈記錄，9200萬美元被盜到一個地址，2300萬美元被盜到另一個地址，盡管這些資金現在被轉移到不同的錢包中。根據Rekt的排行榜，這是有史以來第三大DeFi黑客攻擊（盡管兩個更大的黑客攻擊事件都有資金返還）。（TheBlock）[2021/10/28 6:16:25]

據其官網介紹，dForce是一個基于區塊鏈的去中心化金融和貨幣協議平臺，同時也是第一個獲得世界領先商業銀行戰略投資的穩定幣和DeFi協議平臺，旨在為開放式金融應用程序提供底層基礎設施。團隊核心成員來自高盛、渣打、花旗、弘毅等頂尖金融機構的精英人員和數字貨幣行業的早期參與者。

幣贏DeFi專區 HDAO24小時漲幅3.49%:據官方消息，幣贏DeFi專區 HDAO24小時漲幅3.49%，現報價0.0237U。

據悉，HyperDAO的目標是建立一個完善的DeFi生態系統，為用戶提供完備的去中心化金融基礎設施。DeFi (Decentralised Finance), 即“去中心化金融”，其核心是開放公平，互聯互通。HyperDAO將以分布式賬本和區塊鏈技術為基礎，打造一個集去中心化穩定幣、去中心化社區眾籌、去中心化錢包、云交易所、市場預測、資產管理、普惠金融和電子公民信息系統等DeFi技術設施為一體的金融服務生態平臺。[2020/8/27]

2019年9月，dForce首個由社區開發者主導開發的去中心化借貸協議Lendf.Me正式發布。據其官網介紹，Lendf.Me是基于全球資金池模式的去中心化貨幣市場，可以為用戶提供靈活、便捷的理財和貸款服務，其中包括：

David：DeFi并不是一個新概念，是Dapp在金融方面的一個分支:在8月24日火幣尖峰對話——《DeFi創新有多大想象力？拷問火幣“全球觀察區”首期項目》活動中，金色財經內容總監王瑜琨為媒體觀察團對話YFII社區志愿者David，了解火幣第一期“全球觀察區”板塊的項目。

關于對DeFi發展的問題，David表示，DeFi并不是一個新概念，它是Dapp在金融方面的一個分支。從Bitshares最早對穩定幣的實踐，到2016年導致以太坊硬分叉的去中心化風險投資基金TheDAO，再到2017年的Maker、Bancor、Kyber、0x、LRC等第一代以太坊DeFi產品以及2018年的EOS RAM/REX都屬于DeFi分支。DeFi產品真正大規模出現從2019年開始，Uniswap簡化了bancor的機制，借鑒了X*Y=K的恒定乘積做市商機制得以成功推出；compound的出現滿足了傳統金融借貸需求；aave/synthetix從2018年的ICO泡沫消退后成功轉型為借貸與合成資產方向最有影響力的產品，今年DeFi板塊真正爆發做的前期鋪墊。2020年初以太坊之上穩定幣的爆發式增長，導致了穩定幣swap的需求，因此促成了Curve低滑點AMM解決方案。[2020/8/24]

USDx生息：活期理財，隨存隨取；USDx貸款：抵押ETH，獲得USDx貸款。針對存款方：

HUSD運營負責人Lynn：穩定幣是構建DeFi樂高的基石:7月29日，合規穩定幣HUSD運營負責人Lynn在金色財經直播活動中表示：穩定幣不僅承擔了區塊鏈世界和傳統資產中間價值流轉橋梁工作，作為DeFi樂高的基石，也為價值的衡量、傳輸、儲藏提供極大的動力。

Lynn認為，合規穩定幣的核心是連接鏈上下的資產，而數字資產抵押穩定幣和算法穩定幣則更聚焦于DeFi等細分應用中，提供各類使用機會。相信未來DeFi樂高還會繼續創造出更有趣的使用場景。

HUSD是由Stable Universal 發行的合規穩定幣，與美元1:1錨定，已經在數字資產交易、支付、DeFi等應用中落地。[2020/7/30]

將USDx存入http://Lendf.Me獲取利息收入；閑置資金活期理財，更高收益、更低風險、更好的流動性。針對借貸方：

避免賣幣套現錯失資產升值的用戶：不用變賣手上的數字資產，通過抵押的方式參與USDx借貸，通過支付少量的貸款利息，獲取更高的資產增值。需要更多資金投資優質資產的用戶：通過資產抵押的方式獲取流動現金，投資于優質標的，加快資產增長速度。值得注意的是，用戶通過Lendf.Me進行USDx存款不收取任何費用；申請USDx貸款只需要承擔0.05%的一次性手續費。

99Ex與OKEx將于7月17日同步上線DeFi代幣DMG、CELO:99Ex官方公告，DMG將于7月17日11:30 SGT正式上線99Ex，并開放DMG/USDT交易對；CELO將于7月17日15:00 SGT正式上線99Ex，并開放CELO/USDT、CELO/BTC交易對。99Ex目前已經上線COMP、BTM（2X）、KNC（3X）、BNT四種DeFi類代幣。

據悉，DeFi貨幣市場（DMM）是一個旨在將真實世界資產池令牌化的協議，以產生鏈上加密貨幣存款的收入。CELO是一個開放、去中心化的平臺，致力于幫助每一個擁有手機的人享受到金融服務。99Ex是一個基于區塊鏈技術應用的多語言創新數字資產交易平臺，由OK CAPITAL、科銀資本、連接資本、鏈興資本戰略投資，累計交易用戶100萬+，日均交易用戶20萬+。[2020/7/17]

那么，黑客又是如何對其攻擊的呢？

Lendf.Me2500萬美元被洗劫一空

據外媒ZDnet報道，黑客似乎把不同區塊鏈技術的漏洞和合法功能聯系在一起，精心策劃了一場復雜的“重入攻擊”。而重入攻擊允許黑客在原始交易被批準或拒絕之前，在一個循環中反復提取資金。

盡管該攻擊的細節尚未透露，但值得注意的是，在1月份，Lendf.Me與imBTC集成。4月18日，imBTC在Uniswap去中心化交易所的流動池被攻擊，導致價值約30萬美元的代幣損失。

通過初步分析，安全研究人員認為Uniswap和Lendf.me手法類似，極有可能是同一伙人所為。

Uniswap和Lendf.me的相似之處在于，這兩個平臺都在使用：Lendf.me協議、imBTC和ERC-777。

雷鋒網了解到，imBTC是imToken推出的以太坊區塊鏈上的BTC代幣，ERC777是在ERC20基礎上推出的代幣標準，兼容ERC20，并在ERC20的基礎上增加了一些新的特性。

imBTC本身并沒有安全問題。但ERC-777代幣與Lendf.Me合約組合，就會產生重入攻擊漏洞。

正是如此，黑客才能利用漏洞，在Lendf.Me上重復鑄造出了6700多枚假的imBTC，并以此為抵押，將Lendf.Me上的資產洗劫一空，并立即不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣，還將其余部分贓款轉入了借貸平臺Compound和Aave。

截止目前，Lendf.Me2500萬美元被洗劫一空，雖然攻擊者今日歸還了部分，但依舊杯水車薪，同時其安全性也受到業內同行的質疑。

Compound創始人Leshner在Lendf.Me被盜一事發生后，也立即發推特表示：

“如果一個項目無法足夠專業，無法構建自己的智能合約，而是直接復制，或者在他人智能合約的基礎上稍作修改，那么他們實際上沒有考慮安全性問題的能力或者意愿。希望開發者和用戶能從lendf.Me事件中吸取教訓。”

dForce創始人楊民道也立即發聲明稱：目前團隊正在積極補救，包括：

1.與頂尖安全團隊合作，對Lendf.Me進行更為全面的安全評估；

2.與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊，但我們不會就此被打倒。

3.與主流交易所、OTC交易商、機構積極配合展開相關調查，竭盡全力追索被盜款項，追蹤黑客動態。

為此，安全研究人員也解釋了DeFi為何總是被黑客攻擊：DeFi的最大特性在于其開放性：一是對用戶的開放性，二是合約間的開放性，所以DeFi只要有一個模塊出了問題，可能就會拖垮整個生態，因此極易成為黑客的攻擊目標。從今年年初的bZx攻擊事件再到Uniswap和dForce的攻擊事件，已經充分說明黑客已經掌握了DeFi系統性風控漏洞的要害，充分利用DeFi的可組合性對DeFi接二連三地實施攻擊。

所以安全研究人員建議DeFi開發者們在代碼層面不斷作出改進和更新，不要一位地追求DeFi產品的高組合性，同時也應該注重不同DeFi產品在安全上的可匹配性。

附dForce聲明：

2020年4月19日，dForce生態里的貨幣市場Lendf.Me遭遇黑客攻擊，導致市值約兩千五百萬美金的資產從合約里被取出。

北京時間早9:15分左右，我們通過內部監控系統發現了黑客的異常轉賬行為。隨即我們暫停了Lendf.Me和USDx合約，并臨時關閉網站以對黑客活動進行調查。現在調查仍在進行中，我們已經掌握了部分有關黑客的信息，目前來看黑客已經停止攻擊。

此次黑客攻擊主要是利用imBTC資產ERC777標準的漏洞進行了重入攻擊。回調機制允許黑客反復將偽造的imBTC作為抵押物借出款項。

截至發稿，黑客試圖聯系我們，我們也表達了溝通的意愿。

此次攻擊傷害到的不僅僅是我們的用戶、合作伙伴，同時也嚴重傷害了我、我的合伙人以及整個團隊的利益。我個人也在本次黑客攻擊中遭到了嚴重的經濟損失。

這次意外是我的失誤，我有勇氣面對接下來的挑戰。雖然不一定能完全規避該類惡性事件的發生，但我們本該采取更好的預防措施。我會盡全力改善目前的狀況，同時也真誠地向我們的用戶、投資人、合作伙伴道歉，對不起，我們讓大家失望了。

我們將于北京時間2020年4月20日23:59分前，向社區提供進一步的說明解釋。

自事發至今，我們一直努力在尋求妥善的解決方案，包括：

1.與頂尖安全團隊合作，對Lendf.Me進行更為全面的安全評估；

2.與合作伙伴積極探討可行的解決方案。雖然我們遭遇了攻擊，但我們不會就此被打倒。

3.與主流交易所、OTC交易商、機構積極配合展開相關調查，竭盡全力追索被盜款項，追蹤黑客動態。

雖然此次黑客攻擊對我們造成了嚴重的傷害，但我們不會就此一蹶不振。自事發起至今，我收到了無數的慰問、鼓勵和支持。我對dForce社區給予我們的關懷與幫助深表感激，我們也將繼續努力奮戰，不會放棄任何希望。

dForce創始人

楊民道

Tags：BTCdForceUSDBTCs是不是黃了btc錢包官網btc短線交易騙局dForce幣是什么幣USD幣USD價格

幣安app官網下載