黑客利用以太坊漏洞从中国dForce平台窃取2500万美元_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

黑客利用以太坊漏洞从中国dForce平台窃取2500万美元

2020-04-19 11:23:09

dForce遭遇黑客攻击，损失2500万美元加密货币

中国去中心化金融协议dForce今日因其客户加密货币遭受以太坊代币的已知漏洞攻击，损失了价值2500万美元的资产。

本周二，dForce刚刚宣布完成由加密货币风投基金Multicoin Capital领投的150万美元种子轮融资。然而，今早其旗下的借贷协议Lendf.Me的智能合约遭到攻击，资金被转移至DeFi借贷协议Compound和Aave。目前，Lendf.Me网站已下线，智能合约暂停。Aave创始人兼首席执行官Stani Kulechov向Decrypt透露，其中约1000万美元资金被转移至其协议中。

值得一提的是，据链闻报道，黑客将126,014美元返还给Lendf.Me，并附言："下次好运"。此次攻击与昨日导致去中心化交易所Uniswap损失超过30万美元的以太坊漏洞利用有关。Uniswap包含由TokenIon运营的基于以太坊的比特币代币化版本imBTC的智能合约遭到攻击。而Lendf.Me已于今年1月整合了imBTC。

漏洞利用细节

Uniswap攻击利用了ERC777代币标准的已知漏洞。由于Uniswap智能合约的设置方式，黑客可以在余额更新前不断从Uniswap提取ERC777资金，逐步耗尽imBTC合约。虽然dForce遭攻击与Uniswap攻击完全独立，但据信使用了相同的漏洞利用方法。

受攻击后，Tokenlon和Lendf.Me均暂时暂停了其智能合约。TokenIon在推特上表示："我们正与[Lendf.Me]合作调查此事。"dForce发言人告诉Decrypt，他们仍在"调查中"。

历史漏洞再现

该漏洞并非新问题。正如DeFi Rate所描述的，此次漏洞利用类似于2016年对The DAO的攻击。支持Decrypt独立编辑的ConsenSys在16个月前对Uniswap的广泛审计中就曾指出该漏洞，并认定其为"重大"问题。Uniswap计划在本月升级中修复该漏洞。

Compound首席执行官Robert Leshner声称Lendf.Me挪用了其开源代码。The Block在今年1月的一份报告中发现，"Compound"一词在dForce的合约中出现了四次。Leshner在推特上表示："如果一个项目没有开发自己智能合约的专业知识，而是窃取并重新部署他人的版权代码，这表明他们没有能力或意愿考虑安全性。"