Texto
Editar | Wen Dao
El 19 de abril, el acuerdo de préstamo descentralizado Lendf.Me fue pirateado, y en un corto período de tiempo, casi todos los 12 activos monetarios por valor de $ 24.82 millones bloqueados en el acuerdo desaparecieron, dejando solo una fracción de $ 2,940.
Combinando la reanudación de la agencia de seguridad blockchain Slow Fog y la reanudación de Chengdu Chain Security, el atacante aprovechó la incompatibilidad del protocolo EBTC777 utilizado por los activos de imBTC con otros protocolos descentralizados para lanzar un ataque de reingreso (Re-fascinación), que falsificará el número de imBTC "tomó prestado" todo el dinero de Lendf.Me como garantía.
El día anterior al robo de Lendf.Me, otro acuerdo de préstamo descentralizado, Uniswap, también fue saqueado por un ataque de reentrada, y el fondo de capital ETH-imBTC perdió alrededor de 230,000 dólares estadounidenses.
A diferencia del accidente de seguridad en el que el acuerdo de préstamo de bZx en febrero de este año provocó que los atacantes se llevaran $ 990,000 debido a vulnerabilidades del contrato, esta vez, no hay una laguna en el acuerdo de Uniswap, Lendf.Me e imBTC, pero el contrato se llama entre los acuerdos Existe el riesgo de lagunas.
Este año, de febrero a abril, la facilidad financiera de DeFi ha pasado al menos tres eventos de riesgo de activos a gran escala, incluidos riesgos técnicos como bZx y Lendf.Me, así como las fluctuaciones dramáticas de MakerDao en el mercado "3.12" Riesgo de liquidez. Esto muestra una vez más que el sistema financiero de DeFi que no requiere autoridad, es resistente a la censura y está abierto todavía es muy frágil. La agencia de inversión de criptoactivos FutureMoney predice que el mundo Defi tendrá que permanecer en silencio durante décadas antes de iniciar un brote.
Lendf.Me pierde el 99% de los fondos bloqueados
"Tengo pocas esperanzas de lo que el gobierno puede compensar". Después de que los activos del contrato de préstamo DeFi Lendf.Me fueron robados, el internauta "Bai Te Mi" reveló impotencia en la plataforma social. Dijo que lo depositó en Lendf.Me. El USDT que llegó a financiar desapareció después de que se atacó el acuerdo.
El 19 de abril, el acuerdo de préstamo Lendf.Me desarrollado por el proveedor de servicios de infraestructura financiera abierta dForce fue atacado, y casi los 12 activos digitales del acuerdo fueron robados. Según las estadísticas del sistema AML contra el lavado de dinero (AML), los activos digitales perdidos por Lendf.Me valen aproximadamente US $ 24,69 millones.
En septiembre del año pasado, dForce lanzó el acuerdo descentralizado de préstamos a la red Lendf.Me, que permite a los usuarios realizar depósitos digitales de activos y servicios financieros y de préstamos a través de operaciones en cadena. Según los datos de Dapptotal, antes del incidente, los activos bloqueados del acuerdo una vez alcanzaron los 25,28 millones de dólares, y el volumen de fondos ocupó el séptimo lugar en todo el mercado de DeFi.
Los fondos de Lendf.Me casi fueron saqueados
Sin embargo, en menos de 24 horas, el atacante saqueó los activos bloqueados en Lendf.Me, lo que resultó en una tasa de pérdida de capital de hasta el 99%.
"Personalmente, también sufrí graves pérdidas económicas en este ataque de piratería". El 20 de abril, Yang Mindao, fundador de dForce Network, reveló en las redes sociales que el funcionario ha comenzado a buscar soluciones, incluido un acuerdo más integral. Evaluación de seguridad, discuta posibles soluciones con socios, comuníquese con intercambios convencionales, distribuidores OTC, agencias de seguridad pública, etc., "intente recuperar fondos robados".
La mayoría de los activos de los inversores almacenados en Lendf.Me han sido puestos a flote y "Bai Te Power" es uno de ellos. Sin embargo, él siente que la solvencia del equipo de desarrollo es insuficiente y reveló la idea de renunciar al recurso en las plataformas sociales. "Hace un tiempo, este proyecto DeFi se convirtió en el primer proyecto financiero abierto de Multicoin Capital Investment. También invirtió en partidos de capital conocidos como Huobi y China Merchants International, pero también alcanzó los $ 1.5 millones. En lo que respecta a la situación actual, No creo que el equipo tenga la capacidad de cubrir la pérdida actual de casi $ 25 millones en activos ".
Al cierre de esta edición, Lendf.Me aún está fuera de servicio.
El "ataque reentrante" de los hackers tuvo éxito dos veces en dos días
dForce no reveló los detalles específicos del protocolo Lendf.Me que está siendo atacado, pero muchas agencias de seguridad en la industria han hecho una "revisión". Basado en la descripción de Slow Mist y Chengdu Chain Security, cuando el atacante invoca el protocolo ERC777 Ethereum estándar de activo imBTC en el protocolo Lendf.Me, inicia un ataque de reingreso (Re-fascinación), usando el número falsificado de imBTC como garantía. .Me activos "prestados".
imBTC es un token BTC en la cadena de bloques Ethereum lanzada por la billetera de activos digitales imToken, y su valor está anclado con Bitcoin 1: 1. Lendf.Me permite a los usuarios tomar prestado imBTC como garantía para tomar prestados otros activos digitales.
El equipo de seguridad de SlowMist introdujo que los piratas informáticos utilizaron la vulnerabilidad de reentrada de imBTC en el proceso de combinación del protocolo Lendf.Me para lanzar repetidamente más de 6,700 imBTC falsos en el protocolo Lendf.Me y lo usaron como garantía para saquear activos reales. "Después de robar con éxito los activos, el atacante inmediatamente intercambió las monedas robadas en ETH y otros tokens a través de plataformas DEX como 1inch.exchange, ParaSwap y Tokenlon. Además, parte del dinero robado se transfirió a las plataformas de préstamos DeFi Compound y Aave ".
La técnica de "ataque de reingreso" también apareció en el infame incidente de The Dao, y Ethereum divergió debido a este incidente. Los atacantes a menudo usan el contrato malicioso A para llamar a algunas funciones en el contrato atacado B y "vuelven a ingresar" la ejecución del código en cualquier ubicación de B.
El día antes de que Lendf.Me fuera robado, se produjo un ataque de reentrada en otro acuerdo de préstamo descentralizado. El 18 de abril, Uniswap fue reingresado y el conjunto de activos ETH-imBTC del protocolo se agotó, perdiendo 1278 ETH, por un valor de aproximadamente $ 230,000.
Los dos ataques contra el acuerdo de préstamo de DeFi tienen imBTC en los primeros dos días. ¿Hay una laguna en el mismo imBTC?
En este sentido, SlowMist señaló que imBTC adopta la especificación estándar de token ERC-777, que es compatible con el estándar ERC20, y no hay ningún problema de seguridad en sí mismo. Sin embargo, cuando los tokens ERC-777 se combinan con los contratos inteligentes Uniswap o Lendf.Me, se produce una vulnerabilidad a los ataques de reentrada.
La agencia de seguridad Blockchain Peckshield también dijo que técnicamente, la lógica principal detrás de los dos incidentes es la incompatibilidad entre el estándar ERC-777 y otros contratos inteligentes de DeFi. Los atacantes pueden abusar de ellos para secuestrar transacciones normales y Realizar operaciones ilegales adicionales.
SlowMist recomienda que cuando un único desarrollador del protocolo DeFi acceda a un protocolo de un tercero, debe considerar plenamente la compatibilidad de la lógica comercial de la plataforma con el protocolo y los activos del accesor para evitar problemas de seguridad innecesarios debido a la compatibilidad.
DeFi enfrenta múltiples pruebas de tecnología y mercado
En 2020, Finanzas descentralizadas, denominado campo DeFi, ha habido 3 accidentes de riesgo a gran escala.
En febrero, se atacó el acuerdo de préstamo descentralizado bZx. El atacante usó las lagunas en el acuerdo dos veces para llamar a los contratos inteligentes entre los cinco acuerdos de DeFi para manipular el mercado y arbitrar $ 990,000.
El mercado extremo en marzo no solo causó que los inversores en el mercado centralizado sufrieran un "lavado de sangre", sino que también se libró de DeFi Finance. Las deudas incobrables en la plataforma de préstamos se acumularon rápidamente. Cuando los activos fueron robados por el incendio, aprovechó el fracaso del programa de robots para aumentar la tarifa del gas a tiempo, y obtuvo una garantía con una oferta de 0. Causó una pérdida de 5.67 millones de dólares estadounidenses para MakerDao, y la biblioteca de deuda más grande perdió 35,000 ETH.
Esta vez, Uniswap y Lendf.Me han sido atacados sucesivamente, más de 25 millones de dólares en activos han sido robados, y la infraestructura financiera de DeFi ha vuelto a exponer su vulnerabilidad.
A diferencia de los sistemas financieros centralizados existentes, como los bancos y las bolsas de valores, los creadores de DeFi esperan utilizar códigos y contratos inteligentes para crear un ecosistema financiero abierto que no requiera censura, igualdad de condiciones y que todos puedan participar. La infraestructura para el desarrollo a gran escala de DeFi es una variedad de acuerdos descentralizados. Desde una perspectiva funcional, estos acuerdos incluyen la emisión de activos, transacciones, préstamos hipotecarios, financiamiento y otras funciones financieras que existen en el mundo real, y pueden usar contratos inteligentes. Bridging permite implementar varias funciones en un solo sistema.
El ideal es bello, la realidad siempre es cruel. DeFi no puede escapar de los riesgos que puede enfrentar el sistema centralizado, incluidos los riesgos de seguridad y las crisis económicas, pero en términos de capacidades anti-riesgo, el sistema centralizado no es tan poderoso.
En un artículo analítico el 31 de marzo, FutureMoney, una agencia de inversión de activos digitales, señaló que el sistema financiero DeFi y sus miembros de infraestructura deben enfrentar el riesgo de ataques de piratas informáticos contra vulnerabilidades de contratos inteligentes y defectos estructurales en los préstamos; Si un súper administrador que abusa de su poder rompe las restricciones morales, también se enfrentará a un golpe devastador; el incidente de vulnerabilidad bZx ha expuesto riesgos potenciales de manipulación del mercado; la caída del mercado "3 · 12" también ha permitido que el mundo exterior vea a DeFi fluyendo en el mercado La respuesta a los riesgos sexuales es estrecha.
El incidente de Lendf.Me también permitió a los inversores ver que tanto el Protocolo A como el Protocolo B no son lo suficientemente seguros, y que A + B también debe estar seguro. Y sabemos que el mundo DeFi no es solo una cuestión de dos protocolos: la seguridad de la disposición y la combinación de varios protocolos también plantea desafíos comunes para los constructores.
DeFi, que solo se ha desarrollado durante menos de tres años, sigue siendo frágil y los constructores aún necesitan consolidar la infraestructura en el riesgo uno tras otro.
Después de este incidente, algunos expertos de la industria creen que DeFi no debe permitir que los usuarios se conviertan en un forraje durante el proceso de desarrollo; y algunos profesionales de la industria interesados en utilizar la función DeFi han demostrado comprensión y disposición para acompañar el desarrollo de los desarrolladores.
"Defi no se detendrá y no debería detenerse". FutureMoney cree que, en general, el mecanismo de Defi todavía tiene un gran efecto de mejora y optimización en las finanzas tradicionales, y su potencial para una asignación óptima de los recursos sociales aún no se ha realizado plenamente. "Después de un breve ajuste, casi podemos estar seguros de que Defi entrará en erupción en el futuro y mejorará nuestro negocio financiero básico hasta cierto punto, pero esto llevará tiempo, y el silencio del acuerdo Defi puede llevar décadas".
Tiempo de interacción
¿Sigues siendo optimista sobre DeFi?
