4月18日上午,Uniswap平台遭受重入攻击后,去中心化借贷平台Lendf.Me次日也遭到攻击,两次攻击非常相似,推断为同一组或个人的行为。最终,Uniswap预计损失30万至110万美元,Lendf.me借贷平台预计损失约2500万美元资金。但!令人震惊的事情发生了。黑客在2天内将钱退还给了Lendf.Me(在这里我为Uniswap感到难过)。4月20日先退了279万美元,4月21日又退了剩下的2200万美元。一天攻打,两天收拾残局(还钱),三天忙碌工作。在本次攻击中,黑客利用ERC-777标准与其他平台的兼容性,在进行ETH-imBTC交易时,不断使用智能合约提取资金,进行重入攻击,多次覆盖自己的资金余额,从而实现撤回资金。不断翻倍,循环套利。不得不说,DeFi的安全问题一直饱受诟病。由于其开放性:一是对用户的开放,二是合约之间的开放,所以只要DeFi的一个模块出现问题,就可能拖累整个生态,所以很容易成为黑客的目标。Lendf.Me被盗后,Compound创始人Leshner发推文:希望开发者和用户从lendf.Me事件中吸取教训。在成功窃取2500万美元后,由于通过这种非法手段获得的加密货币(俗称“黑钱”),很难直接使用“保险箱”。为了躲避追踪,黑客会借助交易所和场外交易员的力量,通过复杂的交易方式完成“洗钱”。然而,在使用1inch.exchange.com兑换一定比例资金的过程中,黑客不小心留下了重要的元数据。正是这些元数据泄露了有关黑客的重要信息,例如IP地址和他们使用的Mac的系统语言被设置为英语。调查人员得到了CDN的进一步帮助,CDN是Lendf.me平台使用的内容交付网络,这也给黑客带来了更大的压力。最后,黑客不得不归还这笔钱(在转换交易期间,价值2500万美元略微下降至2430美元)。加密货币交易的高额价值一直是网络攻击的重点目标,但在黑客事件中,类似Lendf.me事件的结果并不多见,只能说是出乎意料的happyending。但这次攻击也给我们带来了一些思考:管理员可以采取更强大的安全措施,例如尝试将尽可能多的钱/货币放入与互联网断开连接的冷钱包中。交易所和场外交易商可以做好客户信息的合理收集和存储、地址监控和资金流向监控,及时发现和报告非法资金流向,最大程度挽回损失。监管机构可以连接攻击者窃取加密货币后的行为逻辑,通过多种方式和渠道收集信息,恢复资金流向。
