突發！dForce證實Lendf.me超過 99% (7.5 億資產)遭駭，楊民道：現在不要存款

根據 DeFi Pulse 的數據顯示，來自中國的去中心化金融協議平台 dForce 在今日早上遭駭客攻擊，總計損失了其將近 2500萬美元的資產。

本文目錄

去中心化金融協議平台 dForce 主要管理者 dForce 基金會才剛於本月 14日宣布由 Multicoin Capital 領投、火幣資本 (Huobi Capital) 和招商銀行子公司招商國際等跟投，完成其 150 萬美元的融資。卻在台北時間今 (18) 日早上 8: 45 發生系統遭攻擊的不幸消息。

根據 DeFi Pulse 的數據，過去24小時內，dForce 的鎖倉資產總價值下跌 100%，在中午時間降到最低 6 美元。一天前，鎖定在該系統中的資產總額為 2490 萬美元。另外，dForce 旗下的 DeFi 借貸協議 Lendf.Me 網站也暫時遭到關閉，在截稿前仍無法訪問。

– source: DeFi Pulse –

稍早 dForce 創辦人楊民道在 dForce 的 Telegram頻道中向用戶表示，團隊正在持續調查問題，並呼籲用戶在這段期間內不要再到 Lendf.Me 上充值資產。另外， dForce 也證實此次 Lendf.Me 是在區塊高度 9,899,681 遭受攻擊。

儘管攻擊漏洞的細節尚未透露，但值得注意的是，今年 1 月 Lendf.Me 才宣布支援與 1:1 錨定比特幣的以太坊 ERC-20 代幣 imBTC 。昨日下午據去中心化交易平台 Tokenlon DEX 推特消息公告，Uniswap 上的 imBTC 的資金池首次遭到攻擊而耗盡，駭客利用 Uniswap 和 ERC777 的兼容性問題，在進行 ETH-imBTC 交易時，連續調用Uniswap智能合約來提取資金，執行重入攻擊。Tokenlon DEX 表示，此次攻擊損失僅止於 Uniswap 上的 imBTC 池，其他託管的比特幣並未受影響。

Today, the imBTC pool on Uniswap has been attacked & drained. The hacker utilized an attack vector on ERC777 tokens on Uniswap.

The BTC in custody is not impacted.

We have paused imBTC transfers for now, are evaluating the situation & will notify when transfers are restored

— Tokenlon DEX (@tokenlon) April 18, 2020

雖然後續 Tokenlon DEX 在暫停 imBTC 的合約轉帳與交易功能後曾經恢復，但因為在今早 Lendf.Me 又遭受攻擊，因此 Tokenlon 也在不久前宣布，暫時下架 Lendf.Me。截至今天稍早，Uniswap 上的 imBTC 的資金池，已經因攻擊導致損失了約價值 30 萬美元的代幣。

此次 dForce 受駭客攻擊的事件，也被認為是自從年初 bZx 攻擊事件後，又一起駭客利用 DeFi 在風險控制上的系統性漏洞所發的攻擊。

延伸閱讀：怎麼用 Defi 工具「十幾秒零成本」獲利上千萬？詳細還原 bZx 駭客事件始末

Lendf.Me 是在去年9月成立，在攻擊發生前其鎖倉資產已發展成 DeFi 市場第七大。但是，同為借貸協議的 Compound 創辦人則在推特上指控 Lendf.Me 竊取其代碼，並表示：

如果一個項目沒有專門技術去開發自己的智能合約，而去竊盜其他團隊受保全保護的代碼並重新部署，我不認為這樣的團隊有能力或意願去考慮系統安全性的問題。希望開發人員能從此次 Lendf.Me 駭客攻擊的事件中學到教訓。

If a project doesn't have the expertise to develop it's own smart contracts, and instead steals and redeploys somebody else's copyrighted code, it's a sign that they don't have the capacity or intention to consider security.

Hope developers & users learn from the @LendfMe hack.

— ? Leshner (@rleshner) April 19, 2020