Sektor zdecentralizowanych finansów wraca na wokandę. W przeciągu ostatniej doby hackerom Etehreum udało się ukraść kryptowaluty o wartości ponad 25 milionów dolarów z dwóch oddzielnych protokołów DeFi.
Adres powiązany z atakiem został utworzony na kilka godzin przed hackem. Już wczoraj rano pojawiły się doniesienia o tym, jakoby nie było możliwości powiązania adresu z tożsamością napastnika. To jednak nie powstrzymało ludzi przed podjęciem prób „negocjacji” z hakerem.
Operator zhakowanego protokołu Ethereum kontaktuje się z hakerem
Wieczorem 18 kwietnia pojawiły się doniesienia, że Lendf.me, zdecentralizowany protokół obsługiwany przez chiński dForce, zaczął tracić fundusze w bardzo szybkim tempie.
Dane wskazują, że w ciągu kilku godzin protokół utracił 57 procent zablokowanych środków. Jednocześnie witryna Lendf.me włączyła baner informujący o tym, że użytkownicy nie powinni wpłacać środków na protokół.
Oh oh look at that big red warning banner@LendfMe
— snxprofessor.eth 博し ⚔️🔑 (@nocturnalsheet) April 19, 2020
Is it time to laugh at @KyleSamani? pic.twitter.com/OvRxgxAht0
Było jednak za późno. Do momentu wykrycia błędu protokół był pusty; Ethereum o wartości 25 milionów USD, USDT i inne tokeny zniknęły. Zostały skierowane przede wszystkim na ten adres.
Negocjacje z diabłem
Jako, że w transakcjach Ethereum możliwe jest zawieranie wiadomości, wielu podjęło próbę kontaktu z hakerem. Niektórzy prosili o zwrot pieniędzy. Inni żartowali. Adres administratora dForce rozpoczął negocjacje, udostępniając swój e-mail hakerowi, na który ten mógł wysyłać wiadomości.
Szczegóły trwających negocjacji nie są jawne, ale niektórzy zaproponowali zawarcie umowy prawnej, w której haker może odejść z immunitetem prawnym, jednakże tylko z częścią funduszy.
Co się dokładnie wydarzyło?
Od czasu ataku witryna lendf.me przeszła w tryb offline, a konto startupu na Twitterze zamilkło. W dniu wczorajszym lendf.me wydała jednak oświadczenie.
Notatka opublikowana dla Medium z dnia 19 kwietnia i napisana przez CEO Mindao Yang wyjaśniła, że wektor ataku wykorzystany przez hakera jest powiązany z imBTC, tokenizowaną wersją Bitcoin na blockchainie Ethereum. Przyczyną ataku był exploit w standardzie ERC-777, na którym opiera się imBTC, co pozwoliło hakerowi zasilić konto większą ilością kapitału, niż faktycznie posiadał.
Potwierdziła się również informacja, że doszło do wymiany wiadomości między dForce a atakującym. Mindao twierdził również, że jego zespół pozostaje w stałym kontakcie z innymi giełdami i organami ścigania.
Opisywany atak nastąpił kilka godzin po tym, jak inny adres (mógł być powiązany tą samą osobą) użył podobnego wektora do wyczyszczenia Uniswap pool z 300 000 $ w imBTC i Ethereum.
Szczegóły tych ataków są dosyć skomplikowane.Więcej informacji na ten temat możecie znaleźć tutaj.
DeFi a mainstream
W myśl wstępnej idei, DeFi miało być ekosystemem finansowym opartym na blockchain, w którym teoretycznie każdy może uzyskać dostęp do usług, które oferowałby „prawdziwy” bank. W ciągu ostatnich kilku miesięcy DeFi miało jednak coraz więcej problemów, jeżeli chodzi o bezpieczeństwo.
Kolejny hack, który doprowadził do pozbawienia tysięcy użytkowników środków o wartości większej niż 25 milionów dolarów daje podstawy, by twierdzić, że DeFi nie jest gotowe do włączenia się w główny nurt.
Jak zauważyła Camila Russo, przez ostatnie trzy miesiące DeFi było hakowane właściwie co miesiąc:
👹DeFi exploits:
— Camila Russo (@CamiRusso) April 19, 2020
June 2019: Synthetix 37m sETH
Feb. 2020: bZx $900k
Mar 2020: iEarn ~$280k
April 2020: LendfMe $25m
It’s not just one project’s problem. DeFi needs better security standards or we’ll continue seeing the downside of that composability double-edged sword.
źródło grafiki tytułowej: tutaj