usdt防伪码 年度神剧：被黑客“看好”的DeFi如何权衡风险与收益？

为了获得利益，你必须接受风险。 不确定性是这个世界的基本属性。 联飞传媒 1 小时前 DeFi3630

2020年注定是神奇的一年。 就在经历了史无前例的“负油价”之后，4月21日，我们又见证了价值1.75亿元的“黑客退款”。

事情的经过大致是这样的：

“重入攻击”详情回顾 北京时间4月19日上午8点45分，中国最大的DeFi平台dForce的借贷协议Lendf.Me在区块高度9899681被黑，短时间内被锁定在协议中几乎全部价值2482万美元的12个币种资产消失，只剩下零头2940美元，损失了约99%的锁仓资金。 事件一出，立即在DeFi界掀起风暴。

本次攻击Lendf.Me的攻击者地址为0xa9bf70a420d364e923c74448d9d817d3f2a77822。 攻击者通过部署合约 0x538359785a8d5ab1a741a0ba94f26a800759d91d 攻击 Lendf.Me。 在此次攻击中，Lendf.Me累计损失约24,696,616美元。 具体被盗币种及金额为：

WETH:55159.02134；WBTC:9.01152；CHAI:77930.93433；HBTC:320.27714；HUSD:432162.90569；BUSD:480787.88767；PAX:587014.60367；TUSD:459794.38763；USDC:698916.40348；USDT:7180525.081569999；

美元指数：510868.16067； imBTC：291.3471。

袭击事件回顾：

4 月 18 日 08:58

攻击者利用Uniswap与ERC 777的兼容性问题，通过重复调用名为“tokensToSend”的方法函数，重新进入平台上的ETH/imBTC交易对。

4 月 18 日 12:12

Tokenlon观察到异常后，立即将其定义为P0级安全问题，并成立了应急处理小组。

4 月 18 日 12:49，Tokenlon 评估安全问题后，暂停 imBTC 转账功能，并通知 Lendf.Me 等 imBTC 合作伙伴自查安全风险。 4 月 19 日 8 点 58 分，黑客开始攻击 Lendf.Me 合约。 4月19日09:28，Tokenlon收到Lendf.Me反馈称，遭遇类似Uniswap事件的重入攻击，出现大量异常借贷行为。 4 月 19 日 10 点 12 分，为配合重入攻击事件的调查，Tokenlon 暂停了 imBTC 的转账功能。 4月19日11时32分，黑客完成攻击，窃取了价值2500万美元的加密数字资产。 4月19日12:57，Lendf.Me和USDx合约相继平仓。

事情要追溯到去年9月，当时dForce推出了去中心化网络借贷协议Lendf.Me，用户可以通过该协议通过链上操作进行数字资产存款、理财和借贷服务。 Lendf.Me 允许用户以 imBTC 为抵押品出借其他数字资产。

ImBTC是数字资产钱包imtoken推出的一种在以太坊上1:1锚定BTC的Token。 目的是将BTC的流动性与以太坊的智能合约完美结合。 持有BTC的用户，包括矿工，也可以选择使用defi提供的借贷或生息服务。

ImBTC 由 Tokenlon 发行和监管，其编写中使用的 ERC-777 规范被认为是通用 ERC-20 标准的更高级版本，与 ERC-20 兼容。 然而，近期ERC-777代币与Uniswap/Lendf.Me合约结合时，存在“重入攻击”漏洞，尤其是在DeFi环境中使用时。

违规首先发生在另一个基于 ETH 的去中心化借贷协议 Uniswap 上。 就在 Lendf.Me 被盗的前一天，也就是 4 月 18 日，Uniswap 也遭遇重入攻击洗劫，ETH-imBTC 资金池损失 1278 ETH，价值约 23 万美元。

与今年2月借贷协议bZx因合约漏洞被攻击者盗取的安全事件不同，这次Uniswap、Lendf.Me、imBTC各自的协议不存在安全问题，但之间存在调用协议。 合同存在漏洞风险。

从攻击作案手法来看，两起事件背后的主要逻辑是黑客利用imBTC资产使用的ERC777协议与其他Defi协议不兼容，发起重入攻击（重入）劫持正常交易并执行额外的非法操作。

“重入攻击”的手段也出现在臭名昭著的 The Dao 事件中，以太坊被分叉。 攻击者往往利用恶意合约A调用被攻击合约B上的一些函数，在B的任意位置“重新进入”代码执行。

黑客对简单攻击进行了多次迭代。 对于每笔交易，黑客都会将 imBTC 存入 Lendf.me 平台，并在他们的账户余额中进行登记。 同一笔交易的第二次存款将添加少量 imBTC，这将允许“退款”用于提取之前存入的硬币。

至关重要的是，ERC777 的回调机制未能在提取资金时更新黑客的余额。 因此，他可以自由地重复供应和提取 imBTC，每次都将余额翻倍。

结果，黑客在 Lendf.Me 协议上反复铸造了 6700 多枚假 imBTC，并将其作为抵押品，席卷了约 2500 万美元的各种加密货币和稳定币，并洗劫了资产。 资产被盗成功后，被盗币立即通过1inch.exchange、ParaSwap、Tokenlon等DEX平台兑换成ETH等代币。 此外，剩余的赃款被转移到 DeFi 借贷平台 Compound 和 Aave 上。

简单来说，智能合约结合后存在关键漏洞，被黑客利用。

被盗资金“归赵”

袭击发生后不久，发生了一件有趣的事情。

4 月 19 日晚上 10 点左右，黑客向 1inch.exchange、ParaSwap 和一个标识为“Lendf.me admin”的账户发送了三笔交易，返回了 126,014 PAX，总价值为 250,000 美元，并附有“Better future”字样。 这似乎暗示了什么，因为“pax”在拉丁语中的意思是“和平”。

4月20日凌晨3点左右，黑客实际分批向Lendf.ME的admin账户转回38万余枚HUSD、320余枚HBTC、12.6万余枚PAX，总价值超过200万美元，也就是说，黑客竟然一次性返还了将近十分之一的赃款。

随后，dForce官方在推特上发布了一堆“符号代码”，疑似向黑客喊话或通过“密码”进行“谈判”。

Lendf.me最后用温和的语气给链上黑客留言，“联系我们，为了你更好的未来。”

更让人意想不到的是，从4月21日13时40分左右开始，窃取Lendf.ME的黑客陆续将几乎所有被盗代币归还给Lendf.ME，其中57992个ETH、425.61个MKR、13.7个10000个DAI、500000个USDT , 252.34 imBTC 等等。

至此usdt防伪码，3天内，我们见证了史上最大规模的黑客还款，总金额近1.75亿元。 纵观整个跟踪事件，整个过程还是魔幻十足。

看似有点讽刺，但这次攻击事件也提醒加密货币交易平台，应该更加重视交易参与者信息的收集，确保交易信息的透明化，才能构建真正的“美好未来”。

“他看起来是一个优秀的程序员，但却是一个缺乏经验的黑客。”

有业内人士指出，正常情况下，黑客窃取这些巨额资产后，应该进行一段时间的彻底“沉寂”。 “洗币”，然后逐步套现。

他之所以选择第一时间还币，极有可能是黑客的真实身份已经被dForce掌握，并且通过dForce的沟通协商，已经挽回了所有损失。

而黑客在发动攻击前很可能并没有做完完整的准备，只是临时起意，以至于在拿到了1.75亿的巨额数字资产后，不小心泄露了一个漏洞。

退回 126,000 PAX 一开始感觉是对平台的侮辱。 不过后来更多的资产被返还，有人认为这次事件的黑客可能是真正具有“黑客精神”的电脑极客，想借这次“大事件”指出行业漏洞，引领行业发展。行业。

对此，区块链安全公司慢雾科技建议，单个DeFi协议开发者在接入第三方协议时，应充分考虑平台自身业务逻辑与接入方协议及资产的兼容性。避免不兼容出现不必要的安全问题。 交易所和钱包要注意加强地址监控，防止相关恶意资金流入平台。

Lendf.Me 事件敲响安全警报

事故发生后，dForce平台能够积极应对，力挽狂澜，这当然体现了平台自身的责任感。 然而，技术上的重大漏洞也给整个行业敲响了警钟。

这不是加密货币第一次被盗。 随着加密货币价值的上升，黑客对加密货币的强烈渴望也越来越强烈。 他们通过利用合约漏洞、入侵网站、攻击加密钱包等方式窃取加密货币，为加密货币持有者带来可观的利益。 损失。

少数观点认为，黑客的行为是利用了合约漏洞，这在某种意义上是合约允许的。 但是，代码有漏洞不代表平台同意。 盗窃的性质没有改变，黑客要为自己的行为承担刑事责任。

事实上，包括盗窃在内，黑客针对加密货币的犯罪行为都会受到刑法的规范。 从判决结果来看，黑客也将面临相对严厉的处罚。 在本案中，黑客的攻击导致Lendf.Me资产损失约2500万美元，刑事制裁在所难免。

毫无疑问，犯罪行为本身应该受到惩罚，但加密货币的不同定性可能指向不同的罪名，这一点在我国尤为突出。 对于加密货币的性质，我国还没有形成一致的看法。 盗窃加密货币面临两种不同的保护路径：盗窃罪和非法获取计算机信息系统数据罪。 前者肯定加密货币的财产属性，后者则将加密货币视为信息。 需要注意的是，两者在量刑上存在较大差距。 盗窃罪的量刑远高于非法获取计算机信息系统数据罪的量刑，给司法实践留下了很大的不确定性。

不仅是我国，包括美国在内的一些国家也未能就加密货币的定性达成一致：

美国商品期货交易委员会（CFTC）将加密货币视为商品； 美国证券交易委员会 (SEC) 将符合 HOWY 测试的加密货币视为证券； 如果交易媒介充当货币，则可以适用货币规则； 美国国税局将加密货币视为具有合法财产属性并需要征税的财产。

赋予加密货币明确的定性是各国努力的方向，对于更好地引导和管理加密货币活动具有重要意义。

黑客通过非法手段获取的加密货币，俗称“黑钱”，难以安全使用。 为了避免被公安机关追查，需要对资金进行隐瞒，使其显得“清白”。 因此，黑客通常借助交易所和场外交易商的力量，通过复杂的交易使资金来源难以追踪。 就像在本次攻击中一样，黑客继续通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH等代币，完成代币的转移。

从实现的角度来看，区块链的不可篡改性确实让警方可以追踪资金的去向，但去中心化的特性也为黑客隐藏身份创造了空间。 他们首先分散加密货币，然后进行洗钱、提币、洗币等操作。 步骤相当繁琐。 资金被拆分转移到不同地址后，大额资金将沿着正向进一步拆分成小额资金，从而构建更复杂的资金网络，也增加了警方追踪和侦破的难度。

但洗钱过程并不难察觉。 黑客盗窃的最终目的是变现，而变现的方式无非就是OTC或者交易所交易。 如果交易所和场外交易商能够做好客户信息收集、尽职调查和信息保存工作，及时报告动态，就能及时发现非法资金流向，引起警方的重视。 并最大程度切断资金流出通道，追回赃款，挽回加密货币持有者的损失。 监管部门或调查金融犯罪的机构也可以对收集到的信息进行多方面的梳理和比对，逐步恢复资金流向。

但是，加密货币是可以在全球范围内流通的，追踪过程是无法凭一己之力完成的。 它还需要国内外各种力量的协助，实施起来要复杂得多。 也不太可能恢复所有加密货币。

加密货币安全公司 CipherTrace 的 CEO David Jevans 曾表示，当交易平台或交易所遭到黑客攻击时，只有 20% 的被盗加密货币可以被找回，因为加密货币可以轻松跨越不同的国界。

连续两次的攻击都在警示我们，加密货币的安全不能仅仅依赖区块链技术本身的优势。 可见，黑客已经掌握了DeFi系统风控漏洞的要害。 无论是加密平台还是持有加密货币，大家都应该提高风险防范意识。

对于加密平台，尽可能弥补技术短板，提高交易信息的透明度，完善相应的反洗钱预警机制，第一时间应对加密货币风险。

对于加密货币持有者而言，无论是反洗钱机制还是刑事法律制裁，都只能起到事后救济的作用，目前的制度框架还在建立和完善过程中，未必能够提供强有力的保障。 因此，请大家提高警惕，妥善保管交易密钥，加强账户认证端口，做好事前防范。

“飞船”起飞爆炸，DeFi死了？

“我基本上对当局的赔偿没有希望。” DeFi借贷协议Lendf.Me资产被盗后，大部分投资者存放在该平台的资产全部丢失，“拜特米”就是其中之一。 他在社交平台上表示，自己存入Lendf.Me用于理财的USDT因协议被攻击而消失，但他觉得开发团队的支付能力不足，并流露出放弃追索的想法.

“前阵子，这个DeFi项目成为Multicoin Capital投资的第一个开放金融项目，跟投方包括火币、招银国际等知名资本方，但也只募集了150万美元。据了解就目前的情况而言，我认为球队目前没有能力弥补近 2500 万美元的资产损失。”

在这件事的背后，还有一个神奇的地方是，国外加密货币圈的朋友纷纷吐槽Lendf.me，甚至中国的相关区块链项目。

在区块链创业赛道上，中国团队主要集中在公链和Dapp领域，像Lendf.me这样的协议团队很少。 然而，中国的“区块链项目”似乎被太多的募资项目抹上了污名，这导致一些外国友人认为中国项目是空洞的、骗人的。

“如果你真的相信中国的 DeFi 协议，你就能找到一份新工作”

“我们应该提供这样的咨询服务，如果有人想投资一个他们不了解的中国项目，我们只需要告诉他们不要投资usdt防伪码，我们就可以获得30%的咨询费。”

“你真的相信中国的DeFi项目吗？”

不同于现有的银行、证券交易所等中心化金融系统，DeFi的创造者希望通过代码和智能合约打造一个不需要审查权限、地位平等、人人可参与的开放金融生态。 DeFi 大规模发展的基础设施是各种去中心化协议。 从功能上看，这些协议包含了现实世界中存在的各种金融功能，如资产发行、交易、抵押借贷、融资等。 桥，使多种功能可以在一个系统中实现。

理想是美好的，现实总是残酷的。 DeFi 无法逃避中心化系统也可能面临的风险，包括安全风险和经济危机。 在抗风险能力上，不如中心化系统强。

进入2020年，DeFi领域几乎每个月都会发生大规模的资产风险事件。 其中既包括bZx、Lendf.Me等技术风险，也包括MakerDao在“3.12”市场波动下的流动性风险。 此次，Uniswap 和 Lendf.Me 协议先后遭到攻击，超过 2500 万美元的资产被盗。 DeFi金融基础设施再次暴露漏洞。

今年 2 月，在 ETH Denver 会议期间，黑客在 15 秒内使用了 Dydx、Compound、Uniswap、bZx、Kyber 共五款 DeFi 产品，一次操作成功套利 35 万美元。 整个过程持续了15秒，一分钱都没花。 获得超过35万美元的收入就像变魔术一样。 而且，这一系列操作根本没有违规，是一次完美合法的套利操作。

DeFi金融体系及其基础设施成员不仅要面对智能合约漏洞被黑客攻击的风险，还要面对贷款的结构性缺陷； 滥用职权的超级管理员如果突破道德约束，也将面临毁灭性打击 bZx漏洞事件暴露了潜在的市场操纵风险； “3.12”的行情崩盘，让外界窥见了 DeFi 对市场流动性风险的局促应对。

DeFi的目标应该是让无法享受金融服务的人能够无障碍地获得金融服务，改善生活甚至改变命运，而不是让用户成为炮灰。 财产安全问题得不到保障，DeFi 做的再好也不会有用户。

不可否认，免许可、抗审查、开放的DeFi金融体系依然十分脆弱，建设者仍需在反复风险中夯实基础设施。

DeFi作为一种新的范式转换，开辟了通往新兴金融模式的道路，一定程度上会提升我们的基础金融业务，未来依然令人期待。 但是，如何保证其安全性是未来区块链从业者必须解决的问题。

总之，安全永远是第一位的。 路漫漫其修远兮，前途是光明的，但道路是曲折的。

投资者如何权衡风险与收益？

为了获得利益，你必须接受风险。 不确定性是这个世界的基本属性。

目前，不同的DeFi产品存在不同的风险。 抵押贷款 DeFi 产品的风险包括：

(1) 智能合约代码安全引入的风险；

(2) 智能合约Admin Key引入的操作风险；

（三）持有特定资产本身的风险；

（4）抵押借贷DeFi本身的市场风险

(5) 智能合约平台的风险；

(6) 用户自身私钥管理的风险。

对于智能合约代码安全引入的风险，安全审计报告是规避智能合约风险的第一关，也是最重要的关卡。 也是唯一能够提前防范智能合约风险的措施。 我们需要更加关注与平台相关的问题。 审计报告。 时间是最好的检验，经过长期有效检验的智能合约的风险将显着降低。

针对智能合约Admin Key引入的操作风险，用户需要检查运营商是否主动公开Admin Key权限，Admin Key权限范围，是否设置了Admin Key权限延迟机制。 延时生效机制是有效防御Admin Key的侵入权限对用户造成危害，也是体现运营者态度的关键点。 同时，用户可以查看持有Admin Key权限的操作者的信誉，所在的司法管辖区是否可以起到有效的保护作用。

对于用户来说，学习相关知识，建立一套完整的、适用的私钥管理系统是非常重要的。 其中，备份、保密机制、物理存储安全和人身事故后的应急预案。 同时，使用智能钱包可以规避私钥管理的风险。 此外，从投资角度看，要遵守“放权原则”。