我们见证了史上最大的一笔黑客退款 :一笔价值1.75亿人民币的“黑客退款”

2020年,注定是经历和见证各种历史的一年。就在刚经历了史无前例的“负油价”之后,4月21日,我们又见证了一笔价值1.75亿人民币的“黑客退款”。

事情的经过大致是这样的,北京时间4月19日上午8点45分起,亚洲地区最大的DeFi平台dForce旗下的贷款协议Lendf.Me在区块高度9899681遭到黑客攻击,导致价值约2500万美元的数字资产被洗劫一空。

从攻击的作案手法上来看,黑客主要是利用了imBTCERC777标准内的漏洞来进行了“重入攻击”。ERC777(imBTC)的回调机制使得黑客能够在余额更新之前,重复提供和撤回imBTC

据慢雾科技随后的统计显示,此次攻击中, Lendf.Me 累计的损失约24,696,616 美元,具体盗取的币种及数额为:

WETH: 55159.02134;

WBTC: 9.01152;

CHAI: 77930.93433;

HBTC: 320.27714;

HUSD: 432162.90569;

BUSD: 480787.88767;

PAX: 587014.60367;

TUSD: 459794.38763;

USDC: 698916.40348;

USDT: 7180525.081569999;

USDx: 510868.16067;

imBTC: 291.3471。

之后,黑客不断通过1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币。

4月19日晚间,dForce创始人杨民道发表声明,称团队正在开展如下行动:

1、与顶级安全公司联系,对Lendf.Me进行更全面的安全评估;

2、与合作伙伴一起制定一项解决方案,对该系统进行资本重组,虽然我们被这次袭击击倒了,但我们不会停止脚步;

3、正与主要的交易所,OTC 平台以及相关执法部门合作,调查情况,阻止被盗资金的转移,并追踪黑客。

令人大跌眼镜的是,4月20日凌晨3点左右,根据链上信息显示,Lendf.Me 的攻击者,先后向借贷平台 Lendf.Me 的 admin 账户转回了38万余枚 HUSD 和 320 余枚 HBTC,以及12.6 万 PAX,总价值超过200万美元,也就是说,黑客居然一次性退回了赃款的近十分之一。

随后,dForce官方在推特上发布了一堆“符号码”,疑似通过“密码”向黑客喊话或者进行“谈判”。

令人意想不到的是,北京时间4月21日13点40分左右起,盗取Lendf.ME的黑客竟然陆续向Lendf.ME归还了几乎所有盗窃的代币,包括57,992枚ETH,425.61枚MKR,13.7万枚DAI,50万枚USDT,252.34枚imBTC等等。

至此,3天之间,我们见证了史上最大的一笔,总价值接近1.75亿元人民币的巨额黑客还款。

纵观整起黑客事件,整个过程依然充满了魔幻色彩。

从操作手法上来看,此次事件的攻击者并不像一名专业的“黑客”。

根据去中心化交易所服务商1inch的发言人解释称,此次事件的黑客使用了基于Web的内容分发网络,泄露了关于其本人的重要元数据头部信息。

具体而言,这名黑客在去中心化交易所的所有交易请求都来自一个中国的IP地址,这名黑客并没有使用Tor之类的去中心化网络。

此外,泄露的信息甚至还包括黑客使用的电脑类型、屏幕分辨率和系统语言等等。

对此1inch这样评价到:“他似乎是一名优秀的程序员,但却是一名几乎没有什么经验的黑客。”

一笔1.75亿人民币的超级巨款,居然在被盗之后3天内,如数归还,此举可谓在“黑客史”上史无前例。

有业内人士指出,正常情况下,黑客在盗取了这些巨额资产后,应当进行一段时间的彻底“沉默”,待事件逐渐“平息”后,通过“混币”、“粉尘化”等手法进行“洗币”,然后再逐步套现。

之所以选择第一时间还币,最有可能的是黑客本人的真实身份已经被dForce所掌握,通过dForce的沟通和谈判,从而追回了全部损失。

而这位黑客在开展攻击前,很可能并没有做好全部准备,而是一种“临时起意”式的攻击。原本只是想“试一试”,岂料“一不小心”就“试成了”,拿到1.75亿的巨额数字资产后,心里说不定也“慌得一匹”,一不小心就漏出了破绽。

也有人认为,此次事件中的黑客可能是具有真正“黑客精神”的计算机极客,人家就是想通过这种“大事件”,指出行业漏洞,引领行业发展。

此次事件发生后,面对可能的“灭顶之灾”,dForce平台能够积极应对、全力追回资产,而不是发布类似“我们只是第三方”之类的搪塞态度,固然体现了平台本身的责任感和业内的影响力。

然而,技术上出现的重大漏洞,也为整个行业敲响了警钟。

DeFi领域,安全永远是排在第一位了。

下一次,我们不会再如此幸运地遇到这么“有个性”的黑客。

本文转载自,不具备任何投资参考,本文观点不代表真牛24财经立场。

https://www.sohu.com/a/390926253_120552674?spm=smpc.author.fd-d.1.1587780025764Bki7MPW

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

微信
微信
移动端
移动端
分享本页
返回顶部
风险提示 : 防范以“虚拟货币”“区块链”名义进行非法集资的风险-银保监会等五部门