Bagaimana Lendf.me DeFi Kehilangan $ 25 Juta di Ethereum, Tether Dan Banyak Lagi: Pecahan

Kemas kini (2:30 pm waktu PST pada hari Khamis): Sebagai langkah mengejutkan, penggodam telah mengembalikan semua token Ethereum dan ERC yang hilang setelah mereka kononnya membocorkan alamat IP mereka ke bursa yang mereka gunakan. Polis Singapura dan pihak berkuasa lain kononnya terlibat dalam operasi ini. Identiti penggodam belum disebarkan kepada umum. dForce kini sedang mengerjakan protokol untuk “membuat pengguna menjadi utuh,” seperti kata CEO CEO pasukan itu.

Protokol kewangan terdesentralisasi (DeFi) berasaskan Ethereum Lendf.me baru saja kehilangan $ 25 juta dalam eksploitasi kejam. Inilah yang berlaku dan yang seterusnya bagi mereka yang terlibat.

Aplikasi Hack of Ethereum DeFi Lendf.me

Pada petang 18 April, pengguna di Twitter mula notis bahawa Lendf.me kehilangan dana dengan cepat, pada kadar yang akan dianggap tidak selamat oleh standard biasa.

Data ditunjukkan bahawa dalam jangka masa beberapa jam, protokol telah kehilangan 57 peratus dari nilai terkunci. Serentak, Laman web Lendf.me meletakkan sepanduk dalam Bahasa Mandarin Cina dan Bahasa Inggeris mengatakan bahawa pengguna tidak boleh memasukkan dana ke dalam protokol.

Tetapi, sudah terlambat. Pada saat ralat dapat diketahui, protokolnya sudah kosong; Ethereum bernilai $ 25 juta, Tether’s USDT, dan token terkemuka lain yang disimpan telah hilang, ditarik balik terutamanya ke alamat ini. Secara keseluruhan, $ 25 juta telah hilang, dengan sebahagian besar nilai yang hilang disimpan dalam token seperti Ethereum, USD Coin, USDT, dan imBTC, Bitcoin yang di token.

Apa yang berlaku, menurut analisis oleh syarikat keselamatan siber crypto-centric, adakah penyerang memanfaatkan kod yang rosak yang berkaitan dengan imBTC, versi Bitcoin yang diikenkan oleh Lendf.me.

Kod – yang berkaitan dengan fungsi “tokensToSend ()” – membolehkan penyerang meningkatkan imbTC imbangan di Lendf.me seperti yang dirasakan oleh pelayan tanpa dia benar-benar menyimpan jumlah yang ditunjukkannya. Setelah mengeksploitasi fungsi yang rusak ini berkali-kali dalam apa yang disebut sebagai “serangan masuk semula”, laman web yang didaftarkan itu memiliki cukup jaminan untuk menarik semua token yang didepositkan, mengakibatkan penghapusan dana.

Gambar Diberkati oleh PeckShield

Eksploitasi yang serupa digunakan untuk menguras pasaran pertukaran terdesentralisasi imBTC bernilai $ 300,000 token sekitar 12 jam sebelum penggodaman Lendf.me berlaku, yang bermaksud tulisan itu ada di dinding.

Serangan itu berlaku secara harfiah empat hari setelah dForce diumumkan bahawa ia telah menyelesaikan pusingan pendanaan $ 1.5 juta, yang menyaksikan penyertaan dari dana kripto Multicoin Capital, pertukaran aset digital Huobi, dan cabang pelaburan bank kelima terbesar di China.

Ini Kisah yang Berterusan

Walaupun dana yang terlibat dalam penipuan dan peretasan kripto lebih sering daripada tidak dapat dipulihkan, pengguna individu protokol dan dForce sendiri berusaha untuk mengubah keadaan.

Oleh kerana anda boleh memasukkan mesej dalam transaksi Ethereum dengan menukar teks menjadi kod heksadesimal, banyak yang mulai menghubungi alamat penggodam setelah serangan.

Ada yang meminta wang mereka kembali, dengan satu tulisan: “Wang itu, $ 10,700, pada dasarnya adalah semua simpanan tunai saya. Saya tidak tahu apa keadaan anda tetapi saya sendiri menyakitkan. Tolong lakukan yang anda fikirkan betul. “

Bagaimana Lendf.me DeFi Kehilangan $ 25 Juta di Ethereum, Tether Dan Banyak Lagi: Pecahan

Yang lain meluangkan masa untuk jenaka dengan penggodam.

Dan dForce, melalui alamat yang menguruskan kontrak Lendf.me, berusaha untuk membuat hubungan dengan penyerang, berkongsi alamat e-mel syarikat. Penyerang itu, yang mengejutkan banyak pihak, sebenarnya bertindak balas, ditunjukkan oleh permintaan susulan dForce agar individu tersebut “memeriksa e-mel mereka.”

Perincian rundingan yang sedang berlangsung tidak diketahui umum, tetapi ada yang mencadangkan perjanjian undang-undang harus dibuat di mana penggodam dapat melepaskan diri dengan kekebalan penuh, tetapi hanya dengan sebahagian dana. Secara khusus, 20% daripada angka $ 20 + juta adalah jumlah yang telah dicadangkan.

Catatan dari dForce mengesahkan bahawa rundingan telah dimulakan. Sebagai CEO Mindao Yang menulis:

“Kami melakukan segala daya untuk menahan situasi. Kami telah menghubungi penguatkuasa undang-undang di beberapa wilayah, menghubungi pengeluar aset dan pertukaran untuk melacak dan menyenarai hitam alamat penggodam, dan melibatkan pasukan undang-undang kami. “

Malangnya, nampaknya tidak ada banyak preseden dalam pertukaran atau agensi penguatkuasaan undang-undang yang menangkap penggodam pertukaran atau platform DeFi. Lagipun, Bitcoin, Ethereum, dan cryptocurrency lain dapat dengan mudah disalurkan melalui “mixer”, kemudian dijual melalui pertukaran yang tidak memerlukan penyerahan KYC atau mereka yang tidak mengambil bahagian dalam usaha wajar.

Kemas kini (12:30 pm waktu PST pada hari Ahad): Penyerang sedang mengembalikan sejumlah dana, sejak mengembalikan 320 Huobi Bitcoin (HBTC) dan 381.162 Huobi USD (HUSD) kepada pasukan dForce, dan juga mulai melepaskan beberapa pinjaman yang dia ambil melalui desentralisasi lain protokol kewangan seperti Compound dan Aave. Ada yang mencadangkan bahawa penggodam hanya akan mengembalikan dana yang dapat disekat oleh pihak terpusat, seperti stablecoin separa terpusat, tetapi bukan aset seperti Ethereum dan Maker’s DAI. 

Salah satu daripada banyak Ethereum Hacks

Walaupun ini nampaknya merupakan peretasan terburuk dari aplikasi DeFi, ia adalah yang terbaru dalam rangkaian eksploitasi yang digunakan untuk menguras pengguna Ethereum aset mereka yang sukar diperoleh.

Camila Russo – seorang wartawan Bloomberg menjadikan pencipta kandungan Ethereum – menunjukkan bahawa sebelum bencana Lendf, terdapat eksploitasi pada bulan Mac, Februari, dan kemudian bulan Jun tahun lalu. Setiap serangan berbeza dalam ukuran, tetapi berlaku di sebilangan protokol dan melibatkan serangkaian cryptocurrency yang berbeza, yang menunjukkan bahawa masalah ini “bukan hanya satu masalah projek.” Dia dihuraikan:

“Bukan hanya masalah satu projek. DeFi memerlukan piawaian keselamatan yang lebih baik atau kita akan terus melihat kelemahan pedang bermata komposit itu. “

Intinya dengan semua ini adalah bahawa banyak yang percaya DeFi mungkin tidak siap untuk memasuki arus perdana, walaupun potensinya sebagai kes penggunaan Ethereum. Sebagai Jon Jordan, Pengarah Komunikasi di DAppRadar, memberitahu saya dalam temu bual:

“Saya tidak fikir ada yang menganggap generasi DeFi sekarang ini siap digunakan ke arus perdana. Secara keseluruhan, mungkin ada kurang daripada 10,000 orang yang menggunakan protokol DeFi – bandingkan dengan Binance. “

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map