首页金融正文

币圈盗币案大结局:受害者大获全胜,剧本痕迹明显,背后是否藏着“自导自演”的阴谋?

作者:冉学东 王永菲

来源:华夏时报

发布时间:2020-04-22 13:41:58

摘要:为了调查清楚事件的来龙去脉和后续可能的进展,本报记者采访到了业内安全领域的顶尖企业慢雾科技合伙人兼产品负责人启富,他分析了DeFi平台Lendf.me被黑的相关细节,并对安全防御和投资者提出了诸多建议。

币圈盗币案大结局:受害者大获全胜,剧本痕迹明显,背后是否藏着“自导自演”的阴谋?

华夏时报(www.chinatimes.net.cn)记者 冉学东 见习记者 王永菲 北京报道

这次竟是以黑客返还全额盗币作为“DeFi领域最大的盗币案”的大结局。

国内DeFi领域较为知名的借贷平台lendf.me,其背后的公司为dForce,由于平台系统漏洞问题被攻击者利用而造成投资者资产被盗,损失超过2500万美元,事发后lendf.me平台停止了服务,据慢雾科技调查4月21日攻击者已经将攻击所得资产几乎如数返还。

资金聚集的地方就是黑客们狂欢的天堂,每次出现盗币事件都会引起币圈的一阵慌乱,2011曾有一个比特币大户账号被盗后黑客抛售致使比特币价格暴跌90%。在所有的黑客攻击事件中,受影响最大的是投资者们,而他们的维权往往都是无疾而终。

为了调查清楚事件的来龙去脉和后续可能的进展,本报记者采访到了业内安全领域的顶尖企业慢雾科技合伙人兼产品负责人启富,他分析了DeFi平台Lendf.me被黑的相关细节,并对安全防御和投资者提出了诸多建议。

盗币事件是dForce为热度做的自导自演?

《华夏时报》:本次DeFi平台Lendf.me被黑的事件引起行业恐慌,您能大概的介绍一下事件的始末吗?

启富:4月19日早上8、9点的时候攻击者利用lendf.me平台智能合约的漏洞,盗取了平台内大量数字货币,总价值约2500万美金。攻击者在4月20日退还了部分资金,还给lendf.me平台留下了“better future”,令关注者感受到了挑衅的味道。据慢雾观察钱包地址交易情况,截止到21日黑客已经如数退还全部资金。

《华夏时报》:如您所说,截至4月21日,攻击者已经将2500万美金全部退还,好像还有传言说多退了一些资金回来,针对盗币后退还的事件,有业内人士猜测:“这看起来像是dForce为热度做的自导自演?”

启富:dForce自导自演的可能性不大,对自己平台声誉的影响太大了。

《华夏时报》:看dForce社群讨论,他们给攻击者留言:“为了你的未来,请尽快联系我们。”这种“威胁”攻击者的情况好像在业内还是第一次。那像Lendf.me此次这样的币被盗走又送回来的攻击性事件多吗?攻击者为何要这样做?是一种挑衅吗?那像Lendf.me此次这样的攻击者有被查到的可能吗?

启富:此前遇到过一次是以太坊经典(ETC)51%攻击的攻击者也将币归还了。此次盗币归还事件也不算是一种挑衅,根据慢雾安全团队的追踪,此次攻击者已经基本将盗币返还,传言是找到了攻击者的IP。有时候发生盗币事件后,黑客的身份也会通过反追踪追查到,此事很大程度上最终结果是双方达成友好协商,攻击者返币后,被盗项目方不进行报警处理。在某些意义上说,Lendf.me应该感谢攻击者帮他们发现了这个漏洞。

币圈很多项目方的客户资产都在“裸奔”

《华夏时报》:区块链行业屡次被黑帽黑客盗币,是币圈的技术还不够成熟吗?有评论说:“币圈技术被黑客技术碾压了”,您怎么看待这个看法呢?黑客对币圈的安全威胁大吗?

启富:一方面项目方本身没有足够的安全意识,没有寻求专业的安全审计团队去做项目审计,来保证项目的安全,导致币圈安全事件频发。

另一方面项目方和交易所也在经常做代码更新,审计需要的时间较长,花费较大,所以审计做的不是那么及时。

《华夏时报》:在慢雾科技以及其他安全公司做审计的币圈项目方和交易所数量大概有多少呢?

启富:根据我们内部的统计,目前找我们慢雾科技做审计的项目方数量大概在800多家。

(注:据非小号显示,数字货币币种数量达到了5635个,可见还有很多项目方的资产在“裸奔”。)

《华夏时报》:最近还有一个很热的话题是:EOS生态圈了30多亿跑路了,大量资金短时间涌进交易所,有人猜测“交易所在配合这个大资金盘来洗钱”,您怎么看待这个说法呢?

启富:知名、头部交易所的风控团队一般会特别关注这类恶性事件,对涉及这类恶性事件的充值记录进行审核,如果有相关的资金转入交易所,他们风控团队会阻止。

被盗事件后的反思

《华夏时报》:慢雾科技专注于区块链生态安全,那针对此次Lendf.me的被盗事件,能给DeFi领域的项目方提几个专业的安全建议吗?有什么避免攻击的解决方案吗?

启富:业内很多项目方的风险意识不是很强,为了避免此类事件再次发生,慢雾团队给币圈的项目方提出以下建议:一、首先要在关键的业务操作方法中加入锁机制,如:OpenZeppelin 的 ReentrancyGuard;二、开发合约的时候采用先更改本合约的变量,再进行外部调用的编写风格;三、项目上线前请优秀的第三方安全团队进行全面的安全审计,尽可能的发现潜在的安全问题;四,多个合约进行对接的时候也需要对多方合约进行代码安全和业务安全的把关,全面考虑各种业务场景相结合下的安全问题;五、合约尽可能的设置暂停开关,在出现“黑天鹅”事件的时候能够及时发现并止损;六、安全是动态的,各个项目方也需要及时捕获可能与自身项目相关的威胁情报,及时排查潜在的安全风险。

此次盗币事件算是圆满结局,dForce最终给的声明除了道歉,还给出几个将要采取的方案:

由于Lendf.Me的现有合约已数据污染,将被永久关闭,新产品将启用新合约;将于一周内公布资产返还的建议方案; 如果资产分配的方案通过,将尽快开启并完成用户的资产分配工作。

《华夏时报》:每次发生盗币事件,受到损失最大的还是投资者,您能给投资者个人提一些专业性的投资安全建议吗?

启富:慢雾安全团队对投资者个人有以下几个建议:一是选择业内顶尖的交易所投资交易,在如火币、币安和OKEx这种大型交易所投资交易,即使不幸遭遇到了攻击者盗币事件,交易所也会负责赔偿客户的损失。比如2019年币安被盗7000多枚比特币后,币安对投资者都做了赔偿。二是数字货币投资者可以选用冷钱包存储数字货币,保护好秘钥和助记词就可以保证资产安全了。

本次被盗事件也提醒了交易者要关注项目方以及交易所的风控及系统安全如何,再选择是否需要进行投资。

责任编辑:孟俊莲 主编:冉学东


查看更多华夏时报文章,参与华夏时报微信互动(微信搜索「华夏时报」或「chinatimes」)