对于DeFi (Decentralized Finance)投资者来讲,这一周都不会太平静。北京时间4 月 19 日上午 8 点 45 分,国产 DeFi 借贷协议 Lendf.Me 被曝遭受黑客攻击。这是继 4 月 18 日 Uniswap 被黑客攻击损失 1278 枚 ETH(价值约 22 万美元)之后,DeFi生态出现的又一重大安全事件 。
最新动向
两起安全事件接连爆发后,项目方、区块链安全公司纷纷跟进。4月18日,也就是周六,Uniswap 的imBTC被盗走;周日,Lendf.Me上价值2500万美金的资产被黑客洗劫一空;周一,dForce创始人杨民道如期于Medium发文通报“Lendf.Me被黑”一事的处理进展,表示“在过去的24小时里,一直在不停地工作,并将在以后的文章中详细介绍Lendf.Me采取的所有行动。”周二,黑客返还全部资产,dForce创始人杨民道公布后续行动计划。
Circle因避免陷入美国债务违约风险重新调整USDC储备组合:5月11日消息,USDC稳定币发行商Circle首席执行官Jeremy Allaire在接受采访时表示,Circle调整了支持USDC的储备组合,以支持短期美国国债,从而避免陷入潜在的美国债务违约。Allaire表示,该公司不再持有6月初以后到期的美国国债。
贝莱德管理的Circle Reserve Fund披露的信息显示,该储备基金目前所持债券最迟于5月31日到期。根据CoinGecko的数据,截至周三,USDC的市值约为300亿美元。
据悉,美国总统拜登和国会高层周二就提高31.4万亿美元债务上限而举行的面对面会谈未能打破僵局,三周后美国就有可能被迫陷入前所未有的债务违约。不过,拜登和国会高层周五将再次会面以继续讨论,而且双方都极力强调美国不会出现债务违约。(彭博社)[2023/5/11 14:56:22]
Lendf.Me 被攻击累计的损失约 24,696,616 美元,具体盗取的币种包括USDT、WETH、WBTC等12个币种。据欧科云链OKLink区块链浏览器显示,北京时间4月21日开始,Lendf.Me攻击者地址0xa9bf70a420d364e923c74448d9d817d3f2a77822下的资产在不断往外转出。当日14点,Lendf.Me攻击者地址下的ETH余额减少至$279.27。一小时后,该地址下ETH余额已经为0。随着各方的介入,最新消息显示黑客已退回全部被盗资产。
香港证监会金融科技组前主管:香港监管机构在2017年就有意监管虚拟资产:4月11日,在香港 Web3.0 协会“政策和产业实践”高峰论坛中,香港证监会金融科技组前主管赵嘉丽表示,香港监管机构早在 2017 年 ICO 浪潮中就开始有意识要对虚拟资产进行监管来发展金融科技,2018 年当英美还在思考的时候,香港就开始构建虚拟资产监管框架,虽然开始时是收紧的政策,但目前政策在慢慢放开,进一步接纳虚拟资产。
电气电子工程师学会标准协会主席袁昱表示,Web3.0 最有意义的一点是去中心化的生产关系,AIGC 也会解放大家的生产力,这可能会成为主流。[2023/4/11 13:57:08]
BTC -arh999囤币指数已进入定投区间,当前为0.5249:1月22日消息,BTC-ahr999囤币指数走高至 0.5249,为去年6月14日以来新高,目前已进入定投区间,基于该指数进行投资的参考者请留意区间变化。
注:①<0.45时,为抄底区间;②0.45~1.2时,为定投区间;③ 1.2~5时,为等待起飞区间;④ >5时,未必是良好的
定投时机。[2023/1/22 11:25:58]
图片来源:oklink.com,4月21日14:00
重入攻击
目前已知的情况是,攻击者利用了 imBTC 采用的 ERC-777 标准的一个漏洞,执行重入攻击(Reentrancy attack ),导致市值约 2500 万美金的资产从 Lendf.Me合约里被取出。
Raydium已上线赔偿页面,受损失的个人LP可进行索赔:金色财经报道,据官方推特,Solana生态去中心化交易所Raydium宣布上线赔偿页面,在因12月15日黑客攻击而受损的个人LP现在可进行索赔。
据悉,该页面将开放2个月。这是Raydium补偿计划的第一阶段,该阶段不包含对第三方协议和策略金库的补偿。关于第二阶段补偿计划的信息将于未来几天公布。
此前报道,此前12月Raydium多个资金池遭到攻击,总损失约为439.5万美元,一月初Raydium漏洞补偿提案以100%的支持率获得投票通过,补偿资金来源于两部分,分别为1. 使用Squad的多签部署withdrawPNL并从金库收集PNL,所赚取的费用将用于回购RAY并存入指定地址。2. 运用金库资产来补偿黑客攻击造成的损失。[2023/1/6 15:39:24]
而18日下午,攻击Uniswap的手法与此次Lendf.Me类似,两次事件的攻击者极有可能是同一伙人。黑客利用Uniswap和ERC777的兼容性问题,在进行ETH与imBTC交易时利用ERC777中的多次迭代调用tokensToSend来实现重入攻击。
Amber Group宣布完成3亿美元C轮融资:12月16日消息,Amber Group官方推特发文宣布已完成3亿美元C轮融资,Fenbushi CapitalUS领投,其他加密原生投资者和家族办公室跟投。Amber Group表示,在FTX崩溃之前,Amber以30亿美元估值进行B+轮融资,为可能延长的加密冬天做准备,FTX崩溃后继续进行C轮融资。
在投资者的支持下,其2023年的首要任务是专注于核心业务和客户。此前12月9日,据金融时报报道,Amber Group表示该公司已从一个新的主权基金筹集约5000万美元资金,交易将于明年1月宣布。新资本对该公司的估值为30亿美元,与2月份持平。[2022/12/16 21:48:40]
解释重入攻击之前,我们来复习一个关于以太坊的知识点。以太坊上的每一个代币都是一个合约,而这些合约都是根据某个标准来写。大多数用户更熟知的是ERC20标准,欧科云链OKLink区块链浏览器显示,截至4月21日,以太坊上ERC20代币数高达214075,且数量呈现上升趋势。
然而,即使是ERC20同一标准下,代币在合约之间的转账仍然不是很方便。ERC777便应运而生,兼容ERC20的基础上又添加了新的内容。
此次事件中的Uniswap是根据ERC20标准设计的。Uniswap v1有一个工厂合约和一个交易合约,通过工厂合约,每个代币都可以和以太坊生成一个交易合约。也就是说,任何满足ERC20标准的合约都能够通过工厂合约直接注册到Uniswap上而不需要许可。ERC777兼容ERC20,ERC777标准下的合约同样也可以注册到Uniswap。
通常来讲,智能合约在正常执行期间可以通过执行函数调用,或者简单地转移以太坊来执行对其他智能合约的调用。这些智能合约本身可以称为其他智能合约,它们可以回调到调用他们的智能合约或回调栈中的任何其他智能合约。在这种情况下,我们说智能合约被重新输入,这种情况被称为可重入性。
重入本身不是问题,但智能合约以“不一致”的状态重新输入时,就会出现问题。Uniswap 上使用 ERC777 的安全性问题早在19年6月就被发现并公开过。ERC777 的 Uniswap 交易对会因为 在ERC777 标准里存在,而不存在于 ERC20 里被攻击,这时候,重新输入就变成了重入攻击。
防御对策
这已经不是第一次DeFi 系统性风控漏洞被黑客利用了。从之前闹得沸沸扬扬的闪电货bZx漏洞事件到此次的二连击事件,2020年还未过半,DeFi就经历了三次大规模资产风险事件。
2月,bZx遭受攻击,其协议漏洞被利用,攻击者套利99万美元;3月12日的极端行情下,MakerDao等协议突发强制清算,机器人程序未及时调高gas费,有用户趁机以0出价获得系统拍卖的抵押资产,给MakerDao造成了567万美元的损失;此次的黑客二连击事件中,被盗资产更是高达2500万美元。DeFi 基础设施的脆弱性暴漏无疑。
DeFi 的创建者本意是利用代码和智能合约创建一个无需审查权限、人人可参与的开放金融生态。其大规模发展的基础设施是各种去中心化协议。虽然有更美好的愿景,但DeFi 在抗风险能力上甚至不及中心化系统。
接连的安全事件让人们醒悟,没有0漏洞的协议,安全才是重中之重。对于项目方而言,在开发合约时就应把合约安全问题列为重点。可以将合约代码开源,让更多专业人士和技术团队参与进来,分析整理出易发生的意外事件,提升合约编写的安全性和功能准确性,防患于未然。其次,项目方可以与安全机构加强合作,审查代码。个人用户也需要在决策时格外谨慎,选择投资项目之前,利用好区块链浏览器等工具更全面地了解项目的链上信息才是关键。
这是一个快速迭代的领域,经此几劫,DeFi生态是丧钟长鸣还是进入休整,相信不久就能看到结果。这也是一个长期发展的行业,代码即法律的愿景还没有实现,更多的法规及监管介入才能帮助DeFi 生态健康发展。DeFi可能会在未来爆发,但这个可能或许还需要数十年的沉默期来铺垫。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。