最近,黑客从Uniswap交易所和Lendf.me借贷平台盗窃了一些加密货币,总价值超过2500万美元。
黑客攻击在上周六和周日进行了两次,而且比较相似。警方正在调查当中。
根据目前找到的线索可以推断,黑客似乎是将来自不同区块链技术的漏洞和合法功能链接在一起,组织了复杂的“重入攻击”。
这样黑客可以在原始交易被批准或拒绝之前不断将加密货币提取出来,然后通过平台转移到他们的钱包中,然后立即将资金转移到其他帐户。
这两家被盗的平台具有一个相似的地方,就是两个平台都使用Lendf.me协议(一种去中心化金融(DeFi)协议,用于支持以太坊平台上的借贷操作)、imBTC(在以太坊平台上运行的代币,与比特币的比率为1:1)和ERC-777(以太坊区块链支持智能合约的基础技术之一)。
虽然ERC-777的代币标准不存在什么安全漏洞,但是黑客可以结合ERC777和Uniswap/Lendf.Me合同实现重入攻击。
Tokenlon认为黑客可能使用了OpenZeppelin(该公司对加密货币平台执行安全审核)2019年7月在GitHub上发布的漏洞。
据统计,Uniswap在此次黑客攻击中损失最高数值可能会达到110万美元,而Lendf.me损失超过2450万美元。
目前,为了防止黑客的进一步攻击,两个平台已经选择关闭一段时间,当完全调查出来之后再考虑开放。
同时,Tokenlon还关闭了其imBTC代币服务,并暂停新交易,防止黑客对其他平台进行攻击。