2020年,注定是经历和见证各种历史的一年。就在刚经历了史无前例的“负油价”之后,4月21日,我们又见证了一笔价值1.75亿人民币的“黑客退款”。
事情的经过大致是这样的,北京时间4月19日上午8点45分起,亚洲地区最大的DeFi平台dForce旗下的贷款协议Lendf.Me在区块高度9899681遭到黑客攻击,导致价值约2500万美元的数字资产被洗劫一空。
从攻击的作案手法上来看,黑客主要是利用了imBTC的ERC777标准内的漏洞来进行了“重入攻击”。ERC777(imBTC)的回调机制使得黑客能够在余额更新之前,重复提供和撤回imBTC。
据慢雾科技随后的统计显示,此次攻击中, Lendf.Me 累计的损失约 24,696,616 美元,具体盗取的币种及数额为:WETH: 55159.02134;WBTC: 9.01152;CHAI: 77930.93433;HBTC: 320.27714; HUSD: 432162.90569; BUSD: 480787.88767; PAX: 587014.60367;TUSD: 459794.38763; USDC: 698916.40348; USDT: 7180525.081569999; USDx: 510868.16067; imBTC: 291.3471。
之后,黑客不断通过1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币。
4月19日晚间,dForce创始人杨民道发表声明,称团队正在开展如下行动:1、与顶级安全公司联系,对Lendf.Me进行更全面的安全评估;2、与合作伙伴一起制定一项解决方案,对该系统进行资本重组,虽然我们被这次袭击击倒了,但我们不会停止脚步;3、正与主要的交易所,OTC 平台以及相关执法部门合作,调查情况,阻止被盗资金的转移,并追踪黑客。
令人大跌眼镜的是,4月20日凌晨3点左右,根据链上信息显示, Lendf.Me 的攻击者,先后向借贷平台 Lendf.Me 的 admin 账户转回了38万余枚 HUSD 和 320 余枚 HBTC,以及12.6 万 PAX,总价值超过200万美元,也就是说,黑客居然一次性退回了赃款的近十分之一。
随后,dForce官方在推特上发布了一堆“符号码”,疑似通过“密码”向黑客喊话或者进行“谈判”。
令人意想不到的是,北京时间4月21日13点40分左右起,盗取Lendf.ME的黑客竟然陆续向Lendf.ME归还了几乎所有盗窃的代币,包括57,992枚ETH,425.61枚MKR,13.7万枚DAI,50万枚USDT,252.34枚imBTC等等。
至此,3天之间,我们见证了史上最大的一笔,总价值接近1.75亿元人民币的巨额黑客还款。
纵观整起黑客事件,整个过程依然充满了魔幻色彩。从操作手法上来看,此次事件的攻击者并不像一名专业的“黑客”。
根据去中心化交易所服务商1inch的发言人解释称,此次事件的黑客使用了基于Web的内容分发网络,泄露了关于其本人的重要元数据头部信息。具体而言,这名黑客在去中心化交易所的所有交易请求都来自一个中国的IP地址,这名黑客并没有使用Tor之类的去中心化网络。此外,泄露的信息甚至还包括黑客使用的电脑类型、屏幕分辨率和系统语言等等。
对此1inch这样评价到:“他似乎是一名优秀的程序员,但却是一名几乎没有什么经验的黑客。”一笔1.75亿人民币的超级巨款,居然在被盗之后3天内,如数归还,此举可谓在“黑客史”上史无前例。
有业内人士指出,正常情况下,黑客在盗取了这些巨额资产后,应当进行一段时间的彻底“沉默”,待事件逐渐“平息”后,通过“混币”、“粉尘化”等手法进行“洗币”,然后再逐步套现。
之所以选择第一时间还币,最有可能的是黑客本人的真实身份已经被dForce所掌握,通过dForce的沟通和谈判,从而追回了全部损失。
而这位黑客在开展攻击前,很可能并没有做好全部准备,而是一种“临时起意”式的攻击。原本只是想“试一试”,岂料“一不小心”就“试成了”,拿到1.75亿的巨额数字资产后,心里说不定也“慌得一匹”,一不小心就漏出了破绽。
也有人认为,此次事件中的黑客可能是具有真正“黑客精神”的计算机极客,人家就是想通过这种“大事件”,指出行业漏洞,引领行业发展。
此次事件发生后,面对可能的“灭顶之灾”,dForce平台能够积极应对、全力追回资产,而不是发布类似“我们只是第三方”之类的搪塞态度,固然体现了平台本身的责任感和业内的影响力。然而,技术上出现的重大漏洞,也为整个行业敲响了警钟。
在DeFi领域,网络安全永远是排在第一位了。下一次,我们不会再如此幸运地遇到这么“有个性”的黑客。