您的位置 首页 新闻

国产DeFi项目损失2500万美元区块链项目的安全性究竟有多重要

最近有关黑客攻击国产DeFi项目Lendf.Me的事件在圈内持续发酵。4月19日上午,国产DeFi借贷协议Lendf.Me遭到黑客攻击,据了解,黑客利用imBTC的ERC777合约漏洞来实现重入攻击,而Lendf.Me此次损

最近有关黑客攻击国产DeFi项目Lendf.Me的事件在圈内持续发酵。4月19日上午,国产DeFi借贷协议Lendf.Me遭到黑客攻击,据了解,黑客利用imBTC的ERC777合约漏洞来实现重入攻击,而Lendf.Me此次损失了大约2500万美元。

国产DeFi项目损失2500万美元区块链项目的安全性究竟有多重要

据WMM安全技术团队发现,攻击者此次攻击Lendf.Me的手法与18日攻击Uniswap方式类似。由于DeFi合约缺少重入攻击保护,攻击者利用“supply()”函数重入合约,以此进行了重入攻击。

在此次攻击中,攻击者对Lendf.Me进行了两次「supply()」函数的调用,但是这两次调用都是独立的,并不是在前一笔「supply()」函数中再次调用「supply()」函数。紧接着,在第二次「supply()」函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的「withdraw()」函数发起调用,最终提现。

黑客利用漏洞,在 Lendf 上重复铸造出了 6700 多枚假的 imBTC,并以此为抵押,将 Lendf.Me 上的资产洗劫一空,并立即不断通过 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币,还将其余部分赃款转入了借贷平台 Compound 和 Aave。

重入攻击到底是什么?

重入攻击如何理解呢,比如两面镜子互相对照,在一个镜子当中可以看到另外一个镜子映射的倒影,而且会连续产生多重倒影。在这样的一个状态下,看其中一面镜子中的影像,就会包含它自己本身,这样的状态就叫做重入。在程序思维中,这样的现象也叫做递归,并且会经常被用到。

Uniswap主要功能就是交换,它使用自动做市商的算法,根据两个池子的多寡算兑换的汇率。常规交易场景中,一次交易一次买卖,一进一出的平衡汇率是相对稳定的。重入攻击后的场景,会导致其中一边的池子忽然变高了,另外一个池子没有变化,这个时候汇率就发生了比较大的波动,Uniswap的攻击者借助这个波动薅了羊毛。

Lendf.Me的交易场景中,用户将钱存进去之后,合约会计算存完这笔钱用户的最终余额会是多少,当它将这个最终值计算完毕后才进入到转账的操作。这其中如果插入重入攻击就会导致很严重的问题。

ERC777又是什么?

imBTC使用了ERC777,而本次事件自然就将矛头指向了ERC777,这实际上是DeFi目前无法解决的风控问题。DeFi一定会有一个场景发生——存钱,用户总会将Token存入到DeFi合约当中。这个存钱的动作在目前较为成熟的ERC20中是很难做到的。

ERC20只能做到知道一群人总共向合约转了多少钱,但是并不知道每个人分别转了多少钱。为了解决这一问题,针对ERC20做了一个升级,授权银行可以从用户账户取钱,这个时候银行就会知道被取走了多少钱。

这其中的风险在于,用户授权给银行很大一笔钱,如果银行作恶的话可以将用户账户内很多钱都转走。ERC777由此应运而生,用户不再需要向银行授权一大笔钱,而是在每次向银行转钱的时候可以额外的通知银行转入了多少。这样就可以直接绕开授权过程,让银行做好记账。

从这个角度来看,ERC777是ERC20更先进的,不过,因为WMM目前的落地场景中尚不需要此类的操作,出于安全性的考量,技术团队并未将ERC777加入到底层技术中,面对越来越庞大的生态,我们一直视安全性为第一要务。

DeFi确实是未来的方向 但是解决自身风控才是当务之急

DeFi是一个未经历长时间的安全攻防对抗检验的新生态,逃不开各种未知,包括黑天鹅。Uniswap和Lendf.me相继受到攻击,给DeFi带来了愈来愈尖锐的拷问,DeFi在证明自己真的是一场变革之前,至少需要摆脱暴雷阴影。

国产DeFi项目损失2500万美元区块链项目的安全性究竟有多重要

本次Lendf.Me 被骇金额2400w美金,数位资产追回在加密货币是鲜有发生的。历史上很多 DeFi 项目被黑都是因同一个漏洞连续发生的。历数DeFi历史上的几个Hack 事件,几乎都是非常简单的漏洞,黑客的手段也非常简单,由此也可以看出这个行业还非常不成熟。

DeFi一直都贯彻不需要可信第三方的去中心化方式运行,其实还是要分为链上管理和链下管理的,链下的那部分核心就是做好风控。用中心化的手段先制作完善的DeFi风控方案出来,在风控管理好了之后再释放给去中心化的网络是一条更合适的路径。

WMM也在去中心化方面一直努力摸索,虽然自主公链的上线保证了链上生态的去中心化和平等性,但在线上金融和线下商用落地场景推广上,还是需要更多新技术的赋能,保证整个闭环生态的良性发展。

—-

编译者/作者:WMM中文社区

本文来自网络,不代表币链财经综合资讯立场,转载请注明出处:https://www.idhs.top/49633.html

作者: 币链财经

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

联系我们

在线咨询: QQ交谈

邮箱: 706696204@qq.com

返回顶部