近日,黑客从Uniswap交易所和Lendf.me借贷平台窃取了总值超过2500万美元的加密货币。这一次黑客攻击在上周周六和周日分别发生了两波,这两波攻击貌似相关,并且很可能是同一团体或个人所为。目前案件正在调查中。
据调查估计,这次攻击中黑客似乎是将来自不同区块链技术的漏洞和合法功能链接在一起,组织了复杂的“重入攻击”,以使得黑客可以在原始交易被批准或拒绝之前循环重复提取资金,他们将资金从平台转移到他们的钱包中,然后立即将资金转移到其他帐户。
Uniswap和Lendf.me的相似之处在于两个平台都使用Lendf.me协议(一种去中心化金融(DeFi)协议,用于支持以太坊平台上的借贷操作)、imBTC(在以太坊平台上运行的代币,与比特币的比率为1:1)和ERC-777(以太坊区块链支持智能合约的基础技术之一)。
据此,imBTC背后的公司Tokenlon表示ERC-777的代币标准不存在什么安全漏洞,但是黑客可以结合ERC777和Uniswap/Lendf.Me合同实现重入攻击。Tokenlon认为黑客可能使用了OpenZeppelin(该公司对加密货币平台执行安全审核)于2019年7月在GitHub上发布的漏洞。
Uniswap在此次黑客攻击中损失最高可达110万美元,而Lendf.me损失了超过2450万美元。这两个网站目前均已关闭,以防止进一步被攻击。同时,Tokenlon还关闭了其imBTC代币服务,并暂停新交易,以防止黑客对其他平台进行新的攻击。