周末,黑客利用以太坊区块链背后的技术,从Uniswap和Lendf.Me盗窃了大约2500万美元的加密货币。在这两个平台中,具有即时借贷和提款功能的去中心化借贷平台Lendf.Me受到的打击最为严重,其99.95%的资金或2,450万美元被盗。
Lendf.Me本身得到dForce Foundation的支持,dForce Foundation是在DeFi堆栈上运行的开放式财务协议的集成且可互操作的平台的提供商。
这种关系使攻击的路径变得混乱,一些报告表明被dForce本身入侵了。更为复杂的是,攻击涉及盗窃了由dForce Foundation设计的ERC-20令牌imBTC,该令牌现在由另一家名为Tokenlon的公司在运营。第二个目标公司Uniswap尽管不受dForce Foundation的支持,但也使用了建立在DeFi和imBTC之上的Lendf.me协议。
据称,Uniswap的imBTC代币损失了30万美元至110万美元。根据Tokenlon的说法,第一次攻击是在周五美国东部时间晚上8点针对Uniswap进行的,该攻击利用了以太坊区块链上的一项基础技术ERC777来执行“重入”攻击。该攻击利用的功能是在解决任何影响之前对另一个不受信任的合约进行外部调用,从而使攻击者可以接管智能合约的控制流。在最初的回应中,Tokenlon暂停了imBTC的传输,同时通知用户评估潜在的安全风险。在收到合作伙伴的确认后,转帐在美国东部时间星期六凌晨5点(新加坡当地时间下午5点)恢复。前进至美国东部时间周六晚上9:28,Tokenlon收到Lendf.me的消息,告知他们也已成为冗余攻击的目标。然后,imBTC在46分钟后被暂停。Tokenlon说:“据我们所知,ERC-777令牌标准不存在安全漏洞。” “但是,结合使用ERC777令牌和Uniswap / Lendf.Me合同可以进行再入攻击。”
目前,Uniswap和Lendf.Me都处于脱机状态,因为已经开始调查谁可能是攻击的幕后黑手。