Cum a pierdut DeFi’s Lendf.me 25 de milioane de dolari în Ethereum, Tether și multe altele: o defalcare

Actualizare (ora 14:30, ora PST, joi): Într-o mișcare surprinzătoare, hackerul a returnat toate jetoanele Ethereum și ERC pierdute după ce se presupune că au scurs adresa IP către un schimb pe care îl foloseau. Poliția din Singapore și alte autorități ar fi fost implicate în această operațiune. Identitatea hackerului nu a fost făcută publică. dForce lucrează în prezent la un protocol care să „facă utilizatorii întregi”, așa cum a spus CEO-ul echipei într-o notă sinceră.

Protocolul de finanțare descentralizată (DeFi) bazat pe Ethereum Lendf.me tocmai a pierdut 25 de milioane de dolari într-un exploat brutal. Iată ce s-a întâmplat și ce urmează pentru cei implicați.

Aplicația Hack of Ethereum DeFi Lendf.me

În seara zilei de 18 aprilie, utilizatorii de pe Twitter au început să facă acest lucru înștiințare că Lendf.me pierdea fonduri într-o clipă rapidă, la o rată care ar fi considerată nesigură de standardele normale.

Date indicate că în decurs de câteva ore, protocolul a pierdut 57% din valoarea sa blocată. Simultan, Site-ul web Lendf.me a lansat un banner atât în ​​mandarină chineză, cât și în engleză spunând că utilizatorii nu ar trebui să depună fonduri în protocol.

Dar era prea tarziu. În momentul în care eroarea a fost surprinsă, protocolul era gol; valoarea de 25 de milioane de dolari a Ethereum, USDT a lui Tether și a altor jetoane principale care au fost depuse au dispărut, retras în primul rând la această adresă. În total, s-au pierdut 25 de milioane de dolari, cu o majoritate a valorii pierdute deținute în jetoane precum Ethereum, USD Coin, USDT și imBTC, un Bitcoin tokenizat.

Ce s-a întâmplat, potrivit o analiză a unei companii de securitate cibernetică criptocentrică, a fost că un atacator a valorificat codul defect legat de imBTC, o versiune a Bitcoin tokenizată pe care Lendf.me a acceptat-o.

Codul – legat de funcția „tokensToSend ()” – a permis atacatorului să își mărească soldul de imBTC pe Lendf.me așa cum este perceput de server fără ca acesta să depună efectiv suma indicată de el. După ce a exploatat de mai multe ori această funcție întreruptă în ceea ce a fost numit un „atac de reintrare”, site-ul a înregistrat că avea suficiente garanții pentru a retrage toate jetoanele care au fost depuse, ducând la stingerea fondurilor.

Imagine oferită de PeckShield

O exploatare similară a fost folosită pentru a scurge o piață de schimb descentralizată imBTC cu jetoane în valoare de 300.000 de dolari cu 12 ore înainte ca hack-ul Lendf.me să aibă loc, ceea ce înseamnă că scrierea era pe perete.

Atacul a avut loc la patru zile după anunțarea dForce că a finalizat o rundă de finanțare de 1,5 milioane de dolari, care a văzut participarea fondului cripto Multicoin Capital, a schimbului de active digitale Huobi și a unei filiale de investiții a celei de-a cincea bănci din China.

Este o poveste continuă

În timp ce fondurile implicate în escrocherii și hack-uri criptografice sunt de cele mai multe ori nerecuperabile, utilizatorii individuali ai protocolului și însuși dForce încearcă să modifice situația.

Deoarece puteți include mesaje în tranzacțiile Ethereum prin conversia textului în cod hexazecimal, mulți au început să ajungă la adresa hackerului în urma atacului.

Unii au implorat banii înapoi, cu o singură scriere: „Acei bani, cei 10.700 de dolari, reprezentau practic toate economiile mele în numerar. Nu știu ce situație ai [sic], dar îmi fac rău personal. Vă rugăm să faceți ceea ce credeți că este corect. ”

Cum Lendf.me DeFi a pierdut 25 de milioane de dolari în Ethereum, Tether și multe altele: o defalcare

Alții și-au luat timp să glumă cu hackerul.

Și dForce, printr-o adresă care gestiona contractul Lendf.me, a încercat să ia contact cu atacatorul, partajând adresa de e-mail a companiei. Atacatorul, spre surprinderea multora, a răspuns de fapt, indicat de cererea de urmărire dForce pentru ca individul să-și „verifice e-mailul”.

Detaliile negocierii în curs nu sunt publice, dar unii au propus să se stabilească un acord legal în care hackerul să se îndepărteze cu imunitate deplină, dar numai cu o parte din fonduri. Mai exact, 20% din cifra de peste 20 de milioane de dolari este o sumă propusă.

Nota de la dForce a confirmat că negocierile au început. După cum a scris CEO-ul Mindao Yang:

„Facem tot ce ne stă în putință pentru a contracara situația. Am luat legătura cu forțele de ordine din mai multe jurisdicții, am contactat emitenții de active și schimburi pentru a urmări și a înscrie pe lista neagră adresele hackerilor și am angajat echipele noastre juridice. “

Din păcate, nu pare să existe prea multe precedente în schimburi sau în agențiile de aplicare a legii care prind hackeri de schimburi sau platforme DeFi. La urma urmei, Bitcoin, Ethereum și alte criptomonede pot fi ușor sifonate prin „mixere”, apoi vândute prin schimburi care nu necesită depuneri KYC sau cele care nu participă la o diligență extinsă.

Actualizare (12:30 ora PST duminică): Atacatorul se află în mijlocul returnării unei părți din fonduri, de când a returnat 320 Huobi Bitcoin (HBTC) și 381.162 Huobi USD (HUSD) către echipa dForce și a început, de asemenea, să desfacă unele dintre împrumuturile pe care le-a luat prin intermediul altor descentralizate protocoale de finanțare precum Compound și Aave. Unii au sugerat că hackerul va returna doar fonduri pe care părțile centralizate le pot bloca, cum ar fi monedele stabile semi-centralizate, dar nu active precum Ethereum și Maker’s DAI. 

Unul dintre mulți Hacks Ethereum

Deși se pare că este cel mai rău hack al unei aplicații DeFi vreodată, este cel mai recent dintr-o serie de exploitări utilizate pentru a scurge utilizatorii Ethereum de activele lor câștigate din greu.

Camila Russo – o jurnalistă Bloomberg devenită creator de conținut Ethereum – a subliniat că înainte de dezastruul Lendf, au existat exploatări în martie, în februarie și apoi în iunie anul trecut. Fiecare atac a diferit ca dimensiune, dar a avut loc pe o gamă largă de protocoale și implicând o serie de criptomonede diferite, arătând că aceste probleme nu sunt „doar problema unui proiect”. Ea elaborat:

„Nu este doar problema unui proiect. DeFi are nevoie de standarde de securitate mai bune sau vom vedea în continuare dezavantajul acelei sabii cu două tăișe de compozibilitate. “

Concluzia cu toate acestea este că mulți cred că DeFi s-ar putea să nu fie gata să devină mainstream, în ciuda potențialului său ca caz de utilizare pentru Ethereum. După cum mi-a spus Jon Jordan, Director de comunicații la DAppRadar, într-un interviu:

„Nu cred că nimeni crede că actuala generație de DeFi este gata să fie dislocată în mainstream. În total, există probabil mai puțin de 10.000 de persoane care folosesc protocoale DeFi – comparați-le cu Binance. ”

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me