去中心化借贷协议 Lendf.Me 遭攻击,慢雾还原其协助分析黑客攻击过程,追踪资产动向时间线。

原文标题:《慢雾协助:Lendf.Me 黑客攻击事件真相还原》
撰文:慢雾安全团队

4 月 22 日凌晨,dForce 官方发文 表示,截至 4 月 21 日下午 14 点 41 分已追回被盗的近 2500 万美金数字资产。

在 4 月 19 日攻击事件发生后,慢雾安全团队一直保持着高度关注,不断地追踪被盗资产动向、统计损失总额、分析黑客攻击过程,如下是简要的事件回顾。

  • 4 月 19 日 8 点 58 分,黑客开始对 Lendf.Me 合约发起攻击
  • 4 月 19 日 10 点 59 分,慢雾安全团队发布攻击预警

慢雾:继昨日 Uniswap 被攻击后, Lendf.Me 今日被攻击!

刚刚,慢雾安全团队发现 Lendf.Me 遭遇攻击,目前站点已经关闭。慢雾安全团队分析发现与昨日攻击 Uniswap 手法类似,极有可能是同一伙人所为。慢雾安全团队正在紧张跟进分析中,后续将输出详细细节信息。

  • 4 月 19 日 12 点 25 分,慢雾安全团队发布攻击者资产兑换预警

【慢雾:Lendf.Me 攻击者持续将获利的 PAX 进行转出,总额近 58.7 万枚 PAX】 据慢雾科技反洗钱 (AML) 系统监测显示,Lendf.Me 攻击者 0xa9bf70a420d364e923c74448d9d817d3f2a77822 正持续不断将攻击获利的 PAX 转出兑换 ETH,使用的兑换平台包括 1inch.exchange、ParaSwap 等。慢雾安全团队在此提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。

  • 4 月 19 日下午,dForce、星火与 imToken 安全团队在线下集结,并与慢雾安全团队远程连线成立「临时安全团队」,开始进行资产追回
  • 4 月 19 日 15 点 03 分,慢雾安全团队发布损失金额统计预警

慢雾:Lendf.Me 被攻击损失初步统计结果

据慢雾科技反洗钱 (AML) 系统统计显示,根据攻击者部署的攻击合约 (0x538359785a……759D91D) 从 Lendf.Me 得到的资产统计来看,累计的损失约 24,696,616 美元,具体盗取的币种及数额为:
WETH: 55159.02134,
WBTC: 9.01152,
CHAI: 77930.93433,
HBTC: 320.27714,
HUSD: 432162.90569,
BUSD: 480787.88767,
PAX: 587014.60367,
TUSD: 459794.38763,
USDC: 698916.40348,
USDT: 7180525.08156,
USDx: 510868.16067,
imBTC: 291.3471

之后攻击者不断通过 1inch.exchange、ParaSwap、Tokenlon 等 DEX 平台将盗取的币兑换成 ETH 及其他代币。

攻击者的 withdraw() 调用是发生在 transferFrom 函数中,也就是在 Lendf.Me 通过 transferFrom 调用用户的 tokensToSend() 钩子函数的时候调用的。很明显,攻击者通过 supply() 函数重入了 Lendf.Me 合约,造成了重入攻击。

针对本次攻击事件慢雾安全团队建议:

1、在关键的业务操作方法中加入锁机制,如:OpenZeppelin 的 ReentrancyGuard

2、开发合约的时候采用先更改本合约的变量,再进行外部调用的编写风格

3、项目上线前请优秀的第三方安全团队进行全面的安全审计,尽可能的发现潜在的安全问题

4、多个合约进行对接的时候也需要对多方合约进行代码安全和业务安全的把关,全面考虑各种业务场景相结合下的安全问题

5、合约尽可能的设置暂停开关,在出现「黑天鹅」事件的时候能够及时发现并止损

6、安全是动态的,各个项目方也需要及时捕获可能与自身项目相关的威胁情报,及时排查潜在的安全风险

  • 4 月 20 日,基于黑客在攻击前后留下的痕迹,「临时安全团队」成功确定了准确的黑客画像,并开始与国内外各方资源进行交叉对比,获得突破性线索,离黑客越来越近
  • 4 月 21 日下午,黑客在重重压力下,与 dForce 主动沟通,并开始归还部分资产。继续沟通后,所有资产被成功找回

从 4 月 19 日到 4 月 21 日,「临时安全团队」经历了最复杂的黄金 48 小时,周密的工作部署起到了决定性作用,最终得到了漂亮的结果。千言万语,就此尘封,在此慢雾安全团队对「临时安全团队」里的所有成员致以最高敬意,并对这次过程中所有直接间接帮助过这次行动的人表示真挚的感谢,这是个影响深远,载入加密货币史册的一次成功行动,大家一起创造了历史 。

完整事件回顾可查看 dForce 官方文章《黑客攻击事件真相还原》。

来源链接:mp.weixin.qq.com