网易首页 > 财经频道 > 金融 > 正文

币圈盗币案大结局:受害者大获全胜 疑自导自演

0
分享至

币圈盗币案大结局:受害者大获全胜,剧本痕迹明显,背后是否藏着“自导自演”的阴谋?

华夏时报记者冉学东 见习记者 王永菲 北京报道

这次竟是以黑客返还全额盗币作为“DeFi领域最大的盗币案”的大结局。

国内DeFi领域较为知名的借贷平台lendf.me,其背后的公司为dForce,由于平台系统漏洞问题被攻击者利用而造成投资者资产被盗,损失超过2500万美元,事发后lendf.me平台停止了服务,据慢雾科技调查4月21日攻击者已经将攻击所得资产几乎如数返还。

资金聚集的地方就是黑客们狂欢的天堂,每次出现盗币事件都会引起币圈的一阵慌乱,2011曾有一个比特币大户账号被盗后黑客抛售致使比特币价格暴跌90%。在所有的黑客攻击事件中,受影响最大的是投资者们,而他们的维权往往都是无疾而终。

为了调查清楚事件的来龙去脉和后续可能的进展,本报记者采访到了业内安全领域的顶尖企业慢雾科技合伙人兼产品负责人启富,他分析了DeFi平台Lendf.me被黑的相关细节,并对安全防御和投资者提出了诸多建议。

盗币事件是dForce为热度做的自导自演?

《华夏时报》:本次DeFi平台Lendf.me被黑的事件引起行业恐慌,您能大概的介绍一下事件的始末吗?

启富:4月19日早上8、9点的时候攻击者利用lendf.me平台智能合约的漏洞,盗取了平台内大量数字货币,总价值约2500万美金。攻击者在4月20日退还了部分资金,还给lendf.me平台留下了“better future”,令关注者感受到了挑衅的味道。据慢雾观察钱包地址交易情况,截止到21日黑客已经如数退还全部资金。

《华夏时报》:如您所说,截至4月21日,攻击者已经将2500万美金全部退还,好像还有传言说多退了一些资金回来,针对盗币后退还的事件,有业内人士猜测:“这看起来像是dForce为热度做的自导自演?”

启富:dForce自导自演的可能性不大,对自己平台声誉的影响太大了。

《华夏时报》:看dForce社群讨论,他们给攻击者留言:“为了你的未来,请尽快联系我们。”这种“威胁”攻击者的情况好像在业内还是第一次。那像Lendf.me此次这样的币被盗走又送回来的攻击性事件多吗?攻击者为何要这样做?是一种挑衅吗?那像Lendf.me此次这样的攻击者有被查到的可能吗?

启富:此前遇到过一次是以太坊经典(ETC)51%攻击的攻击者也将币归还了。此次盗币归还事件也不算是一种挑衅,根据慢雾安全团队的追踪,此次攻击者已经基本将盗币返还,传言是找到了攻击者的IP。有时候发生盗币事件后,黑客的身份也会通过反追踪追查到,此事很大程度上最终结果是双方达成友好协商,攻击者返币后,被盗项目方不进行报警处理。在某些意义上说,Lendf.me应该感谢攻击者帮他们发现了这个漏洞。

币圈很多项目方的客户资产都在“裸奔”

《华夏时报》:区块链行业屡次被黑帽黑客盗币,是币圈的技术还不够成熟吗?有评论说:“币圈技术被黑客技术碾压了”,您怎么看待这个看法呢?黑客对币圈的安全威胁大吗?

启富:一方面项目方本身没有足够的安全意识,没有寻求专业的安全审计团队去做项目审计,来保证项目的安全,导致币圈安全事件频发。

另一方面项目方和交易所也在经常做代码更新,审计需要的时间较长,花费较大,所以审计做的不是那么及时。

《华夏时报》:在慢雾科技以及其他安全公司做审计的币圈项目方和交易所数量大概有多少呢?

启富:根据我们内部的统计,目前找我们慢雾科技做审计的项目方数量大概在800多家。

(注:据非小号显示,数字货币币种数量达到了5635个,可见还有很多项目方的资产在“裸奔”。)

《华夏时报》:最近还有一个很热的话题是:EOS生态圈了30多亿跑路了,大量资金短时间涌进交易所,有人猜测“交易所在配合这个大资金盘来洗钱”,您怎么看待这个说法呢?

启富:知名、头部交易所的风控团队一般会特别关注这类恶性事件,对涉及这类恶性事件的充值记录进行审核,如果有相关的资金转入交易所,他们风控团队会阻止。

被盗事件后的反思

《华夏时报》:慢雾科技专注于区块链生态安全,那针对此次Lendf.me的被盗事件,能给DeFi领域的项目方提几个专业的安全建议吗?有什么避免攻击的解决方案吗?

启富:业内很多项目方的风险意识不是很强,为了避免此类事件再次发生,慢雾团队给币圈的项目方提出以下建议:一、首先要在关键的业务操作方法中加入锁机制,如:OpenZeppelin 的 ReentrancyGuard;二、开发合约的时候采用先更改本合约的变量,再进行外部调用的编写风格;三、项目上线前请优秀的第三方安全团队进行全面的安全审计,尽可能的发现潜在的安全问题;四,多个合约进行对接的时候也需要对多方合约进行代码安全和业务安全的把关,全面考虑各种业务场景相结合下的安全问题;五、合约尽可能的设置暂停开关,在出现“黑天鹅事件”事件的时候能够及时发现并止损;六、安全是动态的,各个项目方也需要及时捕获可能与自身项目相关的威胁情报,及时排查潜在的安全风险。

此次盗币事件算是圆满结局,dForce最终给的声明除了道歉,还给出几个将要采取的方案:

由于Lendf.Me的现有合约已数据污染,将被永久关闭,新产品将启用新合约;将于一周内公布资产返还的建议方案; 如果资产分配的方案通过,将尽快开启并完成用户的资产分配工作。

《华夏时报》:每次发生盗币事件,受到损失最大的还是投资者,您能给投资者个人提一些专业性的投资安全建议吗?

启富:慢雾安全团队对投资者个人有以下几个建议:一是选择业内顶尖的交易所投资交易,在如火币、币安和OKEx这种大型交易所投资交易,即使不幸遭遇到了攻击者盗币事件,交易所也会负责赔偿客户的损失。比如2019年币安被盗7000多枚比特币后,币安对投资者都做了赔偿。二是数字货币投资者可以选用冷钱包存储数字货币,保护好秘钥和助记词就可以保证资产安全了。

本次被盗事件也提醒了交易者要关注项目方以及交易所的风控及系统安全如何,再选择是否需要进行投资。

责任编辑:孟俊莲 主编:冉学东


相关推荐
热点推荐

重锤落下,贾跃亭的楼塌了

硬核财经
2021-04-15 00:20:41

李兆会:买私人飞机,娶车晓,10年败光家产沦为笑话,现在呢?

财经专项记者圈
2021-04-15 06:09:22

大计划!巨变!中石化宣布:在5000座加油站建换电站!所有电动汽车都能用!未来,已来?

央视财经
2021-04-15 21:29:28

国产后直接便宜了十几万!轴距近三米,21寸轮圈

汽车之家
2021-04-15 15:34:05

毛泽东一生中主动结交的挚友只有他一人,曾进入党的核心领导圈,为何后来却被开除党籍?

文汇报
2021-04-14 12:22:15

45岁赵薇烟瘾太大被偷拍!吞云吐雾动作老练,暴瘦一圈裤子显松垮

会火
2021-04-15 10:07:52

黄少安:中国大量南方官员调动北方,背后有什么深意?

田野里奔跑
2021-04-14 17:41:50

非把中国逼至绝路?“全面抗华”响彻全美,专家:美将走向灾难

海拔新观察
2021-04-15 22:12:31

初二女学生称遭老师性骚扰,聊天内容现挑逗性话语,教育局介入

微社评
2021-04-15 16:23:50

0-3,又输了!英超昔日大黑马彻底沉沦,最快或下轮就提前降级

巨懂球
2021-04-15 11:21:33

去女友楼下求婚,却看到女友和别人在窗前上演大片,小伙当场崩溃

消费生活报
2021-04-15 14:11:12

12岁森碟成“人间腿精”,未P身高吓坏网友:田亮,管管你女儿吧!

如此娱乐圈儿
2021-04-15 11:32:45

什么是倒霉的最高境界?!来看看网友们的倒霉照片!

广东活动
2021-04-15 14:01:54

广东“70后”揭阳市委书记蔡朝林已跨省升任贵州省领导。

潮商
2021-04-15 21:04:06

加拿大议员视频会议时不慎全裸出镜,同事调侃:你身材很好

环球时报国际
2021-04-15 13:26:20

父亲病危遭儿赶出家,冻死在街上,警察在他衣服中发现发黄的照片

森里伊人眸
2021-04-15 16:23:15

进入30海里就开火?台军悍然给解放军划“红线”!专家一针见血

随风飘荡的海藻
2021-04-15 15:13:39

继母涉嫌将12岁女童虐待至植物人,法医当庭驳斥摔伤说法

新京报
2021-04-15 22:37:11

国永雁涉嫌严重违法接受监察调查

当代广播站
2021-04-15 18:11:48

第一次跟男生约会,全宿舍为女孩打扮,网友:这颜值根本不需打扮

莉莉文娱圈
2021-04-12 17:27:36
2021-04-16 02:09:08

财经要闻

头条要闻

女子5年4次起诉离婚被驳:离婚是最大心愿

头条要闻

女子5年4次起诉离婚被驳:离婚是最大心愿

体育要闻

王霜:留洋没有表面看起来风光

娱乐要闻

刘诗诗穿宝蓝色长裙现身 气质温柔

科技要闻

美媒:英伟达不应该忘了普通游戏玩家

汽车要闻

3.8秒破百/续航超700公里 ZEEKR 001今晚上市

态度原创

艺术
时尚
房产
手机
公开课

艺术要闻

河南安阳公众考古模式见闻

张雨绮疑似新恋情被拍 男友是小8岁的帅哥提琴手

房产要闻

又有2盘启动认筹 嘉泷汇4大拦客嫌疑 中环境秋月热情揽客 | 楼市包打听

手机要闻

中兴Axon 30 Ultra体验:爱上拍月亮 让人惊喜的旗舰机

公开课

记者卧底精神病院,震惊发现正常人不在少数

×