國產DeFi 借貸協議Lendf.Me 被曝遭受黑客攻擊，據悉，黑客利用imBTC 的ERC 777 合約漏洞來實現重入攻擊，Lendf.Me 損失了大約2500 萬美元。據安全公司透露，dForce 團隊追回這筆損失的可能性微乎其微，目前dForce 團隊正在定位被攻擊原因，並在網頁端建議所有用戶停止往Lendf.Me 協議存入資產。

而在今日上午，攻擊者目前共向DeFi 借貸協議Lendf.Me 歸還38 萬枚HUSD、320 枚HBTC 和12.6 萬枚PAX ，並留下紙條：“下次好運”。

網友也笑稱其為“黑客提款機”。

什麼是Lendf.Me ？

可能很多童鞋對Lendf.Me 是什麼還很陌生，所以在這之前，先帶大家了解下Lendf.Me 是什麼。

簡單來說，Lendf.Me 是dForce 旗下的一個借貸協議。

據其官網介紹，dForce是一個基於區塊鏈的去中心化金融（DeFi）和貨幣協議平台，同時也是第一個獲得世界領先商業銀行戰略投資的穩定幣和DeFi 協議平台，旨在為開放式金融應用程序提供底層基礎設施。團隊核心成員來自高盛、渣打、花旗、弘毅等頂尖金融機構的精英人員和數字貨幣行業的早期參與者。

2019 年9 月，dForce 首個由社區開發者主導開發的去中心化借貸協議Lendf.Me 正式發布。據其官網介紹，Lendf.Me 是基於全球資金池模式的去中心化貨幣市場，可以為用戶提供靈活、便捷的理財和貸款服務，其中包括：

• USDx 生息：活期理財，隨存隨取；
• USDx 貸款：抵押ETH，獲得USDx 貸款。

針對存款方：

• 將USDx存入http://Lendf.Me獲取利息收入；
• 閒置資金活期理財，更高收益、更低風險、更好的流動性。

針對借貸方：

• 避免賣幣套現錯失資產升值的用戶：不用變賣手上的數字資產，通過抵押的方式參與USDx 借貸，通過支付少量的貸款利息，獲取更高的資產增值。
• 需要更多資金投資優質資產的用戶：通過資產抵押的方式獲取流動現金，投資於優質標的，加快資產增長速度。

值得注意的是，用戶通過Lendf.Me 進行USDx 存款不收取任何費用；申請USDx 貸款只需要承擔0.05% 的一次性手續費。

那麼，黑客又是如何對其攻擊的呢？

Lendf.Me 2500 萬美元被洗劫一空

據外媒ZDnet 報導，黑客似乎把不同區塊鏈技術的漏洞和合法功能聯繫在一起，精心策劃了一場複雜的“重入攻擊”。而重入攻擊允許黑客在原始交易被批准或拒絕之前，在一個循環中反复提取資金。

儘管該攻擊的細節尚未透露，但值得注意的是，在1 月份，Lendf.Me 與imBTC（一種與BTC 掛鉤的以太坊代幣）集成。4 月18 日，imBTC 在Uniswap 去中心化交易所的流動池被攻擊，導致價值約30 萬美元的代幣損失。

通過初步分析，安全研究人員認為Uniswap 和Lendf.me 手法類似，極有可能是同一夥人所為。

Uniswap 和Lendf.me 的相似之處在於，這兩個平台都在使用：Lendf.me 協議、imBTC 和ERC-777。

imBTC 是imToken 推出的以太坊區塊鏈上的BTC 代幣，ERC777 是在ERC20 基礎上推出的代幣標準，兼容ERC20，並在ERC20 的基礎上增加了一些新的特性。

imBTC 本身並沒有安全問題。但ERC-777 代幣與Lendf.Me 合約組合，就會產生重入攻擊漏洞。

正是如此，黑客才能利用漏洞，在Lendf.Me 上重複鑄造出了6700 多枚假的imBTC，並以此為抵押，將Lendf.Me 上的資產洗劫一空，並立即不斷通過1inch.exchange、ParaSwap 、Tokenlon 等DEX 平台將盜取的幣兌換成ETH 及其他代幣，還將其餘部分贓款轉入了借貸平台Compound 和Aave。

截止目前，Lendf.Me 2500 萬美元被洗劫一空，雖然攻擊者今日歸還了部分，但依舊杯水車薪，同時其安全性也受到業內同行的質疑。

Compound 創始人Leshner 在Lendf.Me 被盜一事發生後，也立即發推特表示：

“如果一個項目無法足夠專業，無法構建自己的智能合約，而是直接複製，或者在他人智能合約的基礎上稍作修改，那麼他們實際上沒有考慮安全性問題的能力或者意願。希望開發者和用戶能從lendf.Me 事件中吸取教訓。”

dForce 創始人楊民道也立即發聲明稱：目前團隊正在積極補救，包括：

1. 與頂尖安全團隊合作，對Lendf.Me 進行更為全面的安全評估；

2. 與合作夥伴積極探討可行的解決方案。雖然我們遭遇了攻擊，但我們不會就此被打倒。

3. 與主流交易所、OTC 交易商、公安機構積極配合展開相關調查，竭盡全力追索被盜款項，追踪黑客動態。

為此，安全研究人員也解釋了DeFi 為何總是被黑客攻擊：DeFi 的最大特性在於其開放性：一是對用戶的開放性，二是合約間的開放性，所以DeFi 只要有一個模塊出了問題，可能就會拖垮整個生態，因此極易成為黑客的攻擊目標。從今年年初的bZx 攻擊事件再到Uniswap 和dForce 的攻擊事件，已經充分說明黑客已經掌握了DeFi 系統性風控漏洞的要害，充分利用DeFi 的可組合性對DeFi 接二連三地實施攻擊。

所以安全研究人員建議DeFi 開發者們在代碼層面不斷作出改進和更新，不要一位地追求DeFi 產品的高組合性，同時也應該注重不同DeFi產品在安全上的可匹配性。

附 dForce 聲明：

2020 年4 月19日，dForce 生態裡的貨幣市場Lendf.Me 遭遇黑客攻擊，導致市值約兩千五百萬美金的資產從合約裡被取出。

北京時間早9:15 分左右，我們通過內部監控系統發現了黑客的異常轉賬行為。隨即我們暫停了Lendf.Me 和USDx 合約，並臨時關閉網站以對黑客活動進行調查。現在調查仍在進行中，我們已經掌握了部分有關黑客的信息，目前來看黑客已經停止攻擊。

此次黑客攻擊主要是利用imBTC 資產ERC777 標準的漏洞進行了重入攻擊。回調機制允許黑客反復將偽造的imBTC 作為抵押物借出款項。

截至發稿，黑客試圖聯繫我們，我們也表達了溝通的意願。

此次攻擊傷害到的不僅僅是我們的用戶、合作夥伴，同時也嚴重傷害了我、我的合夥人以及整個團隊的利益。我個人也在本次黑客攻擊中遭到了嚴重的經濟損失。

這次意外是我的失誤，我有勇氣面對接下來的挑戰。雖然不一定能完全規避該類惡性事件的發生，但我們本該採取更好的預防措施。我會盡全力改善目前的狀況，同時也真誠地向我們的用戶、投資人、合作夥伴道歉，對不起，我們讓大家失望了。

我們將於北京時間2020 年4 月20 日23:59 分前，向社區提供進一步的說明解釋。

自事發至今，我們一直努力在尋求妥善的解決方案，包括：

1. 與頂尖安全團隊合作，對Lendf.Me 進行更為全面的安全評估；

2. 與合作夥伴積極探討可行的解決方案。雖然我們遭遇了攻擊，但我們不會就此被打倒。

3. 與主流交易所、OTC 交易商、公安機構積極配合展開相關調查，竭盡全力追索被盜款項，追踪黑客動態。

雖然此次黑客攻擊對我們造成了嚴重的傷害，但我們不會就此一蹶不振。自事發起至今，我收到了無數的慰問、鼓勵和支持。我對dForce 社區給予我們的關懷與幫助深表感激，我們也將繼續努力奮戰，不會放棄任何希望。

dForce創始人

楊民道