​Observación de la industria de OKLink: El ecosistema DeFi ha sido atacado por piratas informáticos y el ecosistema DeFi se va a descansar

Para los inversores de DeFi (Finanzas Descentralizadas), esta semana no será demasiado tranquila. A las 8:45 a. m., hora de Beijing, del 19 de abril, el protocolo nacional de préstamos DeFi, Lendf.Me, quedó expuesto a los piratas informáticos. Este es otro incidente de seguridad importante en el ecosistema DeFi después de que Uniswap fuera pirateado el 18 de abril y perdiera 1278 ETH (por un valor aproximado de $220 000).

Novedades

Después de que estallaron dos incidentes de seguridad uno tras otro, las partes del proyecto y las compañías de seguridad de blockchain siguieron uno tras otro. El 18 de abril, es decir, el sábado, se robó el imBTC de Uniswap; el domingo, los activos por valor de 25 millones de dólares estadounidenses en Lendf.Me fueron saqueados por piratas informáticos; el progreso del incidente "pirateado", dijo "en las últimas 24 horas, han estado trabajando sin parar, y detallaré todas las acciones tomadas por Lendf.Me en artículos futuros". El martes, el pirata informático devolvió todos los activos, el fundador de dForce, Yang Mindao, anunció el plan de acción de seguimiento.

Lendf.Me sufrió una pérdida acumulada de alrededor de $24,696,616 por los ataques, y las monedas robadas específicas incluyeron USDT, WETH, WBTC y otras 12 monedas. Según el navegador de cadena de bloques OKLink, a partir del 21 de abril, hora de Beijing, los activos bajo la dirección del atacante Lendf.Me 0xa9bf70a420d364e923c74448d9d817d3f2a77822 se han transferido continuamente. A las 14 en punto del mismo día, el saldo de ETH bajo la dirección del atacante de Lendf.Me se redujo a $279,27. Una hora después, el saldo de ETH en esta dirección ya es 0. Con la participación de todas las partes, las últimas noticias muestran que los piratas informáticos han devuelto todos los activos robados.

ETH supera la marca de los $4200 con un aumento intradiario del 4,48 %: los datos de Huobi Global muestran que ETH ha aumentado a corto plazo, superando la marca de los $4200, y ahora cotiza a $4200,36, un aumento intradiario del 4,48 %. fluctúa mucho, así que por favor haga un buen trabajo en el control de riesgos. [2021/5/12 21:51:59]

 Fuente de la imagen: oklink.com, 21 de abril a las 13:30 

Fuente de la imagen: oklink.com, 21 de abril a las 14:00

Ataque de reentrada

La situación conocida actual es que el atacante aprovechó una vulnerabilidad en el estándar ERC-777 adoptado por imBTC para realizar un ataque de reentrada (Reentrancy attack), lo que resultó en la retirada de activos con un valor de mercado de alrededor de 25 millones de dólares estadounidenses del Lendf. .Me contrato.

En la tarde del 18, el método utilizado para atacar a Uniswap fue similar al de Lendf.Me esta vez, y es muy probable que los atacantes en los dos incidentes sean el mismo grupo. Los piratas informáticos aprovecharon los problemas de compatibilidad entre Uniswap y ERC777 y utilizaron varias iteraciones en ERC777 para llamar a tokensToSend para lograr ataques de reingreso al intercambiar ETH e imBTC.

Antes de explicar el ataque de reentrada, repasemos un punto de conocimiento sobre Ethereum. Cada token en Ethereum es un contrato, y estos contratos están escritos de acuerdo con un cierto estándar. La mayoría de los usuarios están más familiarizados con el estándar ERC 20. El navegador de cadena de bloques OKLink muestra que, a partir del 21 de abril, la cantidad de tokens ERC20 en Ethereum llega a 214 075, y el número muestra una tendencia al alza.  

  Fuente de la imagen: oklink.com

Sin embargo, incluso bajo el mismo estándar de ERC20, la transferencia de tokens entre contratos aún no es muy conveniente. ERC777 nació y agregó nuevo contenido sobre la base de ser compatible con ERC20.

Uniswap en este incidente está diseñado de acuerdo con el estándar ERC20. Uniswap v1 tiene un contrato de fábrica y un contrato de transacción, a través del contrato de fábrica, cada token puede generar un contrato de transacción con Ethereum. En otras palabras, cualquier contrato que cumpla con el estándar ERC20 puede registrarse directamente en Uniswap a través del contrato de fábrica sin permiso. ERC777 es compatible con ERC20, y los contratos bajo el estándar ERC777 también se pueden registrar en Uniswap.

En términos generales, los contratos inteligentes pueden realizar llamadas a otros contratos inteligentes durante la ejecución normal ejecutando llamadas de función o simplemente transfiriendo Ethereum. Estos contratos inteligentes pueden denominarse otros contratos inteligentes y pueden volver a llamar al contrato inteligente que los llamó o a cualquier otro contrato inteligente en la pila de devolución de llamada. En este caso, decimos que se reingresa al contrato inteligente, y esta situación se denomina reingreso.

El reingreso en sí mismo no es un problema, pero cuando se reingresa un contrato inteligente en un estado "inconsistente", sí lo es. El problema de seguridad de usar ERC777 en Uniswap se descubrió y se hizo público en junio de 2019. El par comercial Uniswap de ERC777 será atacado porque existe en el estándar ERC777 pero no en ERC20.En este momento, el reingreso se convierte en un ataque de reingreso.

Contramedidas defensivas

Esta no es la primera vez que los piratas informáticos explotan las lagunas de control de riesgos sistémicos de DeFi. Desde el incidente de vulnerabilidad lightning bZx que se despertó antes hasta este segundo incidente combinado, DeFi ha experimentado tres incidentes de riesgo de activos a gran escala antes de mediados de 2020.

En febrero, bZx fue atacado, se explotaron las lagunas de su protocolo y el atacante arbitró $ 990,000; bajo las condiciones extremas del mercado el 12 de marzo, MakerDao y otros protocolos se vieron obligados a liquidar repentinamente, y el programa de robot no aumentó la tarifa del gas a tiempo. .0 ofertas para obtener los activos hipotecarios subastados por el sistema, causando una pérdida de US$ 5,67 millones a MakerDao, en este segundo incidente del combo hacker, los activos robados ascendieron a US$ 25 millones. Sin duda, la vulnerabilidad de la infraestructura DeFi está expuesta.

Los creadores de DeFi originalmente tenían la intención de usar código y contratos inteligentes para crear un ecosistema financiero abierto que no requiera censura y todos puedan participar. La infraestructura para su desarrollo masivo es una variedad de protocolos descentralizados. Aunque hay mejores visiones, DeFi ni siquiera es tan resistente al riesgo como los sistemas centralizados.

Los sucesivos incidentes de seguridad han hecho que las personas se den cuenta de que no existe un protocolo con cero vulnerabilidades y que la seguridad es la máxima prioridad. Para la parte del proyecto, los problemas de seguridad del contrato deben priorizarse al desarrollar contratos. El código del contrato puede ser de código abierto, lo que permite que más profesionales y equipos técnicos participen, analicen y resuelvan los accidentes que pueden ocurrir, mejoren la seguridad y la precisión funcional de la redacción del contrato y prevengan problemas antes de que sucedan. En segundo lugar, las partes del proyecto pueden fortalecer la cooperación con las agencias de seguridad para revisar el código. Los usuarios individuales también deben tener mucho cuidado al tomar decisiones.Antes de elegir un proyecto de inversión, la clave es utilizar herramientas como los navegadores de cadena de bloques para comprender mejor la información en la cadena del proyecto.

Este es un campo iterativo rápido. Después de varias calamidades, ya sea que la ecología de DeFi esté cayendo o entrando en un período de descanso, creo que los resultados se verán pronto. Esta es también una industria de desarrollo a largo plazo. La visión del código como ley aún no se ha realizado. Solo más regulaciones e intervención regulatoria pueden ayudar al desarrollo saludable del ecosistema DeFi. DeFi puede explotar en el futuro, pero puede llevar décadas de silencio allanar el camino.

Tags：

OKX Exchange