【提问有奖】dForce“被黑”,敲响DeFi资产安全警钟 – AMA – ChainNode 链节点
DeFi有史以来最大黑客事件:4月19日上午,由dForce团队开发的去中心化借贷协议Lendf.Me遭黑客攻击,价值2500万美金的锁仓资产被黑客洗劫一空,引起区块链行业人士的高度重视。4月19日晚,黑客向Lendf.Me账户归还了12614枚PAX,并附言Better Future。4月20日,黑客再次陆续归还代币,最终悉数归还了全部被盗资产。据悉,此次事件,以及不久前“被黑”的去中心化交易协议Uniswap,都是被黑客利用了ERC777代币标准中的多次迭代调用tokensToSend 方法函数来实现重入攻击。ERC777合约是对ERC20合约的一个改造和升级,不但实现了功能扩展,还有 ERC20 标准一样良好的兼容性。然而ERC777合约和DeFi平台的兼容性问题,给了黑客可趁之机:通过重入攻击,并以imBTC为抵押,完成资金盗窃。所幸,这位黑客由于缺乏经验,在去中心化交易所 1inch 上泄漏了自己的 IP 地址。1inch 配合新加坡警方以及 dForce 团队向黑客施压,迫使其归还了赃款,没有给用户平台造成损失。

延伸阅读:《dForce团队公开还原黑客攻击事件真相》

由资金安全问题引发的思考:虽然被盗资产失而复得,这期事件本身依旧值得大家思考。资产被盗,大家首先想到的是追责,目前几种说法主要聚焦在dForce及其安全合作方本身的风险自查未做到位;也有另一种声音则认为,imBTC 的资产发行方 Tokenlon 负有一定责任。imBTC 是与 BTC 1:1 锚定的 ERC-777 代币(兼容 ERC-20),由 Tokenlon 负责发行和监管,imBTC 采用 ERC-777 代币标准规范。对于Tokenlon的指控主要在于,他们在前一晚 Uniswap 发生事故关停 imBTC 的合约转账后,又重新开通了 imBTC 的合约转账功能,给了黑客可乘之机。对此Tokenlon表示,在 4 月 18 日 17:00 重启 imBTC 的转账功能之前,曾经与 Lendf.Me 及其他 imBTC 合作平台沟通,并得到 Lendf.Me 及其他合作平台确认安全风险评估没问题后,才重启了转账功能。事情发展到现在,许多安全公司也都给出了技术分析,这几起DeFi安全事故,ERC777的代码本身没有漏洞,但当他与DeFi协议相结合的时候兼容性出现了问题,产生了系统性的安全风险。因此,很难说这究竟是谁的责任。DeFi毫无疑问是未来的创新,但如何协议组合风险任重道远。希望DeFi从业者能够吸取教训,敬畏创新,脚踏实地,不要冒进,越来越好。嘉宾简介:

Lucas,Tokenlon 业务负责人。

杨霞,中国顶级区块链安全公司成都链安科技创始人&CEO,电子科技大学副教授,博士后,全球最早从事区块链形式化验证的专家。从事形式化验证、内核安全、移动设备安全、TEE等安全技术研究长达18年,并持续为航空航天、军事领域提供形式化验证和系统安全服务。

Dan Guido,Trail of Bits CEO以及联合创始人。Dan在2012年创立了Trail of Bits公司,以尖端的研究来解决软件安全方面的挑战。在他担任首席执行官期间,负责DARPA(美国国防部高级研究计划局)网络安全项目Cyber Grand Challenge的工作,建立了行业领先的区块链安全实践,并在终端安全市场改进了开源工具。除了在Trail of Bits工作外,Dan还担任hack/secure(专注于种子轮网络安全公司的投资集团)的董事。Dan为RAND(兰德公司)、CNAS(国家安全中心)和哈佛的网络安全政策论文撰稿。他还是Empire Hacking的负责人,这是一个拥有1000名安全专家的组织,主要关注纽约地区的网络安全。在之前的工作中,Dan作为一名教员和专职黑客在纽约大学教授关于软件开发的课程,在iSEC合作伙伴(现在的NCC集团)提供咨询,并作为联邦储备系统的事件响应分析师。Dan拥有纽约大学坦顿分校的计算机科学学士学位。AMA时间:4月30日,周四,上午10:30用户在选择DeFi产品时,是否默认已完全信任代码,并自愿承担风险?披露黑客IP是否违背去中心化的保护隐私的原则?中国技术团队什么时候才能投入更多研发精力,不再过度依赖国外开源代码?更多关于DeFi安全的问题,欢迎来聊!

提问有奖:AMA结束后成都链安科技将选取最有价值的提问2名,每人给予50元人民币的链安红包;此外,还将随机抽取10名幸运提问者,每人给予10元人民币的链安红包。AMA结束后imToken将选取“最有价值提问奖”2名,每人给予马克杯1个+手账本1个+冰箱贴1份(60RMB等值);此外,嘉宾还将随机抽取“幸运提问奖”10名,每人给予手账本1个(20RMB等值)。

如何参与AMA?在本主题帖下直接回帖提问即可参与,嘉宾将在活动开始后上线回答, AMA升级增加了主持人:牛头大哥提问环节,欢迎大家围观讨论!如何进群交流?微信扫下方二维码添加链节点小助手燃燃(微信号:ljdwudi5520),回复“AMA”,小助手直接邀请进群,快进群跟小伙伴们一起交流探讨吧!

特别鸣谢:ChainNode首席合作媒体:巴比特、火星财经、星球日报、链闻、陀螺财经和Bitwires对本期AMA的支持!