Odaily Frontline｜Lendf.Me ถูกโจมตี มูลค่าล็อก dForce ดิ่งลงเหลือ 6 ดอลลาร์

余YU

读者

2020-04-19 06:01

บทความนี้มีประมาณ 2468 คำ การอ่านทั้งหมดใช้เวลาประมาณ 4 นาที

เช่นเดียวกับการโจมตี Uniswap เมื่อวานนี้ ทำให้สูญเสียทรัพย์สินไปเกือบ 24.7 ล้านดอลลาร์สหรัฐ

บทความนี้มาจากThe Blockฯลฯ ผู้เขียนต้นฉบับ: ซีเลีย วัน

นักแปล Odaily |

โปรโตคอลการให้ยืม DeFi Lendf.Me ถูกโจมตีในวันนี้ มีรายงานว่า Lendf.Me เป็นแพลตฟอร์มให้ยืมในระบบนิเวศ dForce ในขณะนี้ เว็บไซต์ไม่สามารถเข้าถึงได้อีกต่อไปข้อมูล DeFi Pulse

แสดงให้เห็นว่าใน 24 ชั่วโมงที่ผ่านมา มูลค่าดอลลาร์ของสินทรัพย์ที่ถูกล็อก dForce ลดลง 100% เป็น 6 ดอลลาร์สหรัฐ ในขณะที่มูลค่ารวมของตำแหน่งที่ถูกล็อกก่อนหน้านี้เกิน 24.9 ล้านดอลลาร์สหรัฐ

ในช่อง dForce Telegram Yang Mindao ผู้ก่อตั้ง dForce กล่าวว่าทีมงานยังคงตรวจสอบปัญหานี้อยู่และแนะนำให้ผู้ใช้ทุกคนหยุดฝากทรัพย์สินไว้ในสัญญาให้ยืม Lendf.Me ตามรายงาน ทีม Lendf.Me ยืนยันว่าถูกโจมตีที่ความสูงบล็อก 9899681 เวลา 8:45 น. ตามเวลาปักกิ่ง

แม้ว่ารายละเอียดของการโจมตีจะไม่ได้รับการเปิดเผย แต่ก็เป็นที่น่าสังเกตว่าในเดือนมกราคม Lendf.Me ได้รวมเข้ากับ imBTC ซึ่งเป็นโทเค็น Ethereum ที่ตรึงกับ BTC เมื่อวันที่ 18 เมษายน กลุ่มสภาพคล่องของ imBTC บนการแลกเปลี่ยนแบบกระจายศูนย์ Uniswap ถูกโจมตี ส่งผลให้โทเค็นมูลค่าประมาณ 300,000 ดอลลาร์หายไป

ในช่วงบ่ายของวันที่ 18 เมษายน Tokenlon ได้ส่งข้อความแจ้งว่ากลุ่ม imBTC บน Uniswap ถูกแฮ็กและหมดลงแล้ว จากข้อมูลของ PeckShield วิธีการโจมตีเฉพาะของ Uniswap ในเหตุการณ์นี้คือ: แฮ็กเกอร์ใช้ประโยชน์จากปัญหาความเข้ากันได้ระหว่าง Uniswap และ ERC777 และใช้การวนซ้ำหลายครั้งใน ERC777 เพื่อเรียก tokensToSend เพื่อให้เกิดการโจมตีซ้ำเมื่อทำธุรกรรม ETH-imBTC การสูญเสียของการโจมตีนี้จำกัดอยู่ที่กลุ่มสภาพคล่องของ ETH-imBTC บน Uniswap และโปรโตคอล DeFi และการดูแล BTC อื่นๆ จะไม่ได้รับผลกระทบ PeckShield เชื่อว่านับตั้งแต่การโจมตี bZx เมื่อต้นปี นี่เป็นการโจมตีอีกครั้งที่ดำเนินการโดยแฮ็กเกอร์โดยใช้ช่องโหว่ในการควบคุมความเสี่ยงอย่างเป็นระบบของ DeFiผู้ใช้บางคนบนทวิตเตอร์เดา Lendf.Me ประสบการโจมตีที่คล้ายกันเพราะบันทึกการทำธุรกรรมแสดงให้เห็นว่าแฮ็กเกอร์เรียกใช้ฟังก์ชันการถอนเงินของ Lendf.Me ซ้ำๆ เพื่อถอน imBTC ซึ่งเกินจำนวนโทเค็นที่เขาฝากไว้ก่อนหน้านี้ในสัญญาให้ยืม มีรายงานว่าวิธีการโจมตีนี้ไม่ใช่เรื่องใหม่ ในปี 2559 แฮ็กเกอร์ DAO ที่มีชื่อเสียงใช้กลไกที่คล้ายกัน ซึ่งนำไปสู่การขโมยเงิน 60 ล้านดอลลาร์ในอีเทอร์การตรวจสอบ ConsenSys ของ Uniswap เมื่อปีที่แล้ว

ช่องโหว่นี้ยังกล่าวถึงในเชิงลึกจากการวิเคราะห์ของทีมรักษาความปลอดภัย SlowMist การโจมตี Lendf.Me นั้นคล้ายกับการโจมตี Uniswap เมื่อวานนี้ และเป็นไปได้มากว่าจะทำโดยกลุ่มเดียวกันตามสถิติจากระบบต่อต้านการฟอกเงิน (AML) ของ SlowMist Technology

ในเรื่องนี้ เมื่อวันที่ 19 เมษายน ทีมงาน Tokenlon ได้เผยแพร่ประกาศประกาศ

Tokenlon ค้นพบว่า Lendf.Me มีพฤติกรรมการให้ยืมที่ผิดปกติจำนวนมากในเช้าวันนี้ Tokenlon ตัดสินใจระงับฟังก์ชันการฝากและดอกเบี้ยของ Lendf.Me USDT ชั่วคราว ฟังก์ชันอื่นๆ ที่ได้รับผลกระทบ ได้แก่ ฟังก์ชันการโอน imBTC และ imBTC ฟังก์ชั่นการจัดการทางการเงินแบบกระจายอำนาจ การดูแล BTC ไม่ได้รับผลกระทบ และธุรกรรม Tokenlon ในสกุลเงินอื่นก็ไม่ได้รับผลกระทบเช่นกัน และสามารถแลกเปลี่ยนได้ตามปกติตามข้อมูล ก่อนการโจมตี Lendf.Me ซึ่งเปิดตัวในเดือนกันยายนปีที่แล้ว กลายเป็นหนึ่งในเจ็ดตลาด DeFi ของ DeFi Pulse เนื่องจากมูลค่าของสินทรัพย์ที่ถูกล็อค อย่างไรก็ตามตามรายงานก่อนหน้านี้โดย The Block

โปรโตคอลการให้ยืม Compound กล่าวหาว่า Lendf.Me ขโมยรหัสที่มีลิขสิทธิ์ หลังจากที่ The Block ติดต่อ dForce ทีมงาน Lendf.Me ได้เพิ่มบันทึกเกี่ยวกับ Compound ลงในเว็บไซต์และหน้า GitHub ของพวกเขา "Lendf.Me ประกอบด้วยโมดูลต่อไปนี้: สัญญาตลาดเงิน (ตาม Compound V1), แบบจำลองอัตราดอกเบี้ย, Oracles, ผู้ชำระบัญชี, การตรวจสอบการชำระบัญชี, แดชบอร์ดตลาด และ UI & UE ส่วนหน้า" Lendf.Me เน้นย้ำว่ารหัสทั้งหมดของ โครงการ (เว้นแต่จะระบุไว้เป็นอย่างอื่น) เป็นโอเพ่นซอร์สและได้รับอนุญาตภายใต้ใบอนุญาต MIT

ในเวลานั้น Yang Mindao กล่าวว่า Compound ไม่เคยติดต่อ dForce มาก่อนเกี่ยวกับการละเมิดลิขสิทธิ์ที่อาจเกิดขึ้น Robert Leshner CEO ของ Compound ยังยืนยันกับ The Block ว่า Compound ไม่ได้ติดต่อกับ dForce โดยอ้างว่าเขาเพิ่งรับทราบถึงสถานการณ์ดังกล่าว "อันที่จริง เราเพิ่งได้ข่าวเกี่ยวกับ LendF.Me เป็นเรื่องใหม่สำหรับเราและเรากำลังประเมินตัวเลือกทางกฎหมายของเรา" Leshner กล่าว "รหัสผสมทั้งหมดพร้อมให้ตรวจสอบ ตรวจสอบ และตรวจสอบ แต่นั่นไม่ใช่ ไม่ได้หมายความว่าคุณมีอิสระที่จะขโมยหรือแจกจ่ายต่อ อันที่จริง โค้ดทั้งหมดของเรามีลิขสิทธิ์ เช่น 'สงวนสิทธิ์'"

แต่ Yang Mindao เชื่อว่าแนวคิดเรื่องลิขสิทธิ์นั้นตรงกันข้ามกับแนวคิดโอเพ่นซอร์สที่แสดงโดยความเคลื่อนไหวของสกุลเงินดิจิทัล และสิ่งที่ทำให้สกุลเงินดิจิทัลเปล่งประกายอย่างแท้จริงก็คือข้อดีของโอเพ่นซอร์ส “หาก Compound ต้องการเปลี่ยนธุรกิจการเงินแบบเปิดไปสู่ธุรกิจการเงินแบบปิดและการผูกขาดสิทธิบัตรแบบเก่าจริงๆ ฉันคิดว่าพวกเขาจะต้องเผชิญหน้ากับการต่อสู้ที่ยากเย็นแสนเข็ญและจำเป็นต้องต่อสู้เพื่อความอยู่รอดของตนเอง”

เขากล่าวว่า “ปัญหาของการใช้รหัส Compound ถูกหยิบยกขึ้นมาในช่วงต้นของกระบวนการพัฒนา Lendf.Me แต่ก็ไม่ถือว่าเป็นปัญหาร้ายแรงเพราะโปรโตคอลการให้ยืมจำนวนมากใช้รูปแบบที่คล้ายกันอยู่แล้ว การประเมิน ณ เวลานั้นก็คือ เกือบทุกโครงการ ใช้โมเดลที่คล้ายกันหรือเกือบจะเป็นโมเดลเดียวกัน เท่าที่เกี่ยวข้องกับโปรโตคอลการให้ยืม ไม่มีการผูกขาดในตลาด และโมดูลตลาดเงินเองก็ไม่ใช่ผลิตภัณฑ์ที่สมบูรณ์" อย่างไรก็ตาม ผู้เชี่ยวชาญกล่าวว่าความเป็นจริงนั้นดีกว่า สำหรับ Compound เนื่องจากในขณะที่เว็บไซต์ Compound ระบุว่าโปรโตคอลเป็นโอเพ่นซอร์ส แต่นั่นไม่ได้หมายความว่าบริษัทไม่สามารถบังคับใช้การอ้างสิทธิ์ความเป็นเจ้าของกับผลงานที่ผลิตได้