2020年，注定是经历和见证各种历史的一年。就在刚经历了史无前例的“负油价”之后，4月21日，我们又见证了一笔价值1.75亿人民币的“黑客退款”。

事情的经过大致是这样的，北京时间4月19日上午8点45分起，亚洲地区最大的DeFi平台dForce旗下的贷款协议Lendf.Me在区块高度9899681遭到黑客攻击，导致价值约2500万美元的数字资产被洗劫一空。

从攻击的作案手法上来看，黑客主要是利用了imBTC的ERC777标准内的漏洞来进行了“重入攻击”。ERC777（imBTC）的回调机制使得黑客能够在余额更新之前，重复提供和撤回imBTC。

据慢雾科技随后的统计显示，此次攻击中， Lendf.Me 累计的损失约 24,696,616 美元，具体盗取的币种及数额为：WETH: 55159.02134；WBTC: 9.01152；CHAI: 77930.93433；HBTC: 320.27714； HUSD: 432162.90569； BUSD: 480787.88767； PAX: 587014.60367；TUSD: 459794.38763； USDC: 698916.40348； USDT: 7180525.081569999； USDx: 510868.16067； imBTC: 291.3471。

之后，黑客不断通过1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币。

4月19日晚间，dForce创始人杨民道发表声明，称团队正在开展如下行动：1、与顶级安全公司联系，对Lendf.Me进行更全面的安全评估；2、与合作伙伴一起制定一项解决方案，对该系统进行资本重组，虽然我们被这次袭击击倒了，但我们不会停止脚步；3、正与主要的交易所，OTC 平台以及相关执法部门合作，调查情况，阻止被盗资金的转移，并追踪黑客。

令人大跌眼镜的是，4月20日凌晨3点左右，根据链上信息显示， Lendf.Me 的攻击者，先后向借贷平台 Lendf.Me 的 admin 账户转回了38万余枚 HUSD 和 320 余枚 HBTC，以及12.6 万 PAX，总价值超过200万美元，也就是说，黑客居然一次性退回了赃款的近十分之一。

随后，dForce官方在推特上发布了一堆“符号码”，疑似通过“密码”向黑客喊话或者进行“谈判”。

令人意想不到的是，北京时间4月21日13点40分左右起，盗取Lendf.ME的黑客竟然陆续向Lendf.ME归还了几乎所有盗窃的代币，包括57,992枚ETH，425.61枚MKR，13.7万枚DAI，50万枚USDT，252.34枚imBTC等等。

至此，3天之间，我们见证了史上最大的一笔，总价值接近1.75亿元人民币的巨额黑客还款。

纵观整起黑客事件，整个过程依然充满了魔幻色彩。从操作手法上来看，此次事件的攻击者并不像一名专业的“黑客”。

根据去中心化交易所服务商1inch的发言人解释称，此次事件的黑客使用了基于Web的内容分发网络，泄露了关于其本人的重要元数据头部信息。具体而言，这名黑客在去中心化交易所的所有交易请求都来自一个中国的IP地址，这名黑客并没有使用Tor之类的去中心化网络。此外，泄露的信息甚至还包括黑客使用的电脑类型、屏幕分辨率和系统语言等等。

对此1inch这样评价到：“他似乎是一名优秀的程序员，但却是一名几乎没有什么经验的黑客。”一笔1.75亿人民币的超级巨款，居然在被盗之后3天内，如数归还，此举可谓在“黑客史”上史无前例。

有业内人士指出，正常情况下，黑客在盗取了这些巨额资产后，应当进行一段时间的彻底“沉默”，待事件逐渐“平息”后，通过“混币”、“粉尘化”等手法进行“洗币”，然后再逐步套现。

之所以选择第一时间还币，最有可能的是黑客本人的真实身份已经被dForce所掌握，通过dForce的沟通和谈判，从而追回了全部损失。

而这位黑客在开展攻击前，很可能并没有做好全部准备，而是一种“临时起意”式的攻击。原本只是想“试一试”，岂料“一不小心”就“试成了”，拿到1.75亿的巨额数字资产后，心里说不定也“慌得一匹”，一不小心就漏出了破绽。

也有人认为，此次事件中的黑客可能是具有真正“黑客精神”的计算机极客，人家就是想通过这种“大事件”，指出行业漏洞，引领行业发展。

此次事件发生后，面对可能的“灭顶之灾”，dForce平台能够积极应对、全力追回资产，而不是发布类似“我们只是第三方”之类的搪塞态度，固然体现了平台本身的责任感和业内的影响力。然而，技术上出现的重大漏洞，也为整个行业敲响了警钟。

在DeFi领域，网络安全永远是排在第一位了。下一次，我们不会再如此幸运地遇到这么“有个性”的黑客。