2020年以来,DeFi 就一直备受关注,甚至被认为是区块链的新风口,其锁仓资金也突破了25.3亿美金,达到了历史新高。
不过,这块肥肉也被黑客盯上了。
这不,就在半个月前,DeFi 平台Uniswap 又遭到了攻击,黑客仅用0.9个ETH就盗走了91万枚VETH,价值超过了90万美金。
而类似的黑客事件之前也发生了多起。
今年4月19日上午,DeFi 另一个平台 Lendf.me 也遭到了黑客的攻击,损失了大约2500万美金的资产。
在不到24小时的时间里,Lendf.me的锁仓资产直接从2499万美元暴跌至1万美元。
这意味着用户抵押在Lendf.Me的资产几乎全被洗劫一空,网友们也瞬间炸开了锅,讽刺DeFi就是黑客的提款机。
还有受害者无奈表示:我躲过了爆仓,躲过了Fcoin,躲过了各种资金盘,却摔倒在年化1%的DeFi理财上。
那么,币圈热门赛道DeFi为什么变得人人喊打?以及为何黑客们总是屡屡得手?
听鉴叔好好唠唠。
DeFi安全事故频发
其实,DeFi被骂成黑客提款机并不冤。
仅仅2020年2月-7月,DeFi领域公开曝光的安全事故就有8起,鉴叔列了下其中影响比较大的几起:
2 月 15 日,贷款协议 bZx 被黑客通过操纵预言机价格导致约 35 万美元的损失;
3 月 12 日,恶意的“零出价拍卖”导致 MakerDao 500 多万美元的不良债务;
4 月 18 日,Uniswap 遭受黑客的重入攻击导致 1278 枚 ETH 的损失;
4 月 19 日,Lendf.Me 遭到黑客的重入攻击导致超过 2500 万美元的资产损失;
6 月 29 日,黑客两次利用dydx的闪电贷攻击了Balancer,导致总价值50.2万美元的资产损失;
7 月 1 日,黑客在 Uniswap 上仅用 0.9ETH 盗走价值 90 万美元的 VETH。
可以说,每一起事故都和黑客脱不开关系。
在4月份的这两起中,黑客的攻击手法如出一辙,都利用了“重入攻击”。也就是在不到两天的时间,黑客用同一个漏洞分别搞了2个平台!
如果看到Uniswap被攻击时,Lendf.Me能提起一点警惕心,也不至于死得这么惨。
大家可能也很好奇,这是个什么漏洞,黑客到底是怎么利用的呢?
这就得回顾一下黑客攻击Lendf.Me全过程了。
Lendf.Me 被盗事件经过
4月19日8点58分,黑客开始发起对Lendf.Me合约的攻击。
他首先是发起了多次攻击测试,试探了下攻击的可行性,并且通过测试调整了自己的攻击脚本。
调试没多久,他的攻击已经出现了效果,从下图中的这笔交易可以看到,黑客持有的资金im *** C在成倍增长。
就这样,截止11点32分,黑客通过不断重复同样的攻击手段,成功盗走了价值2500万美金的加密数字资产。
所以这个漏洞是什么呢?
这就是重入攻击(Re-entrancy):
攻击者会编写攻击智能合约,调用受害合约,利用自己的Fallback函数,循环调用一段受害者合约的代码。因为是重复进入受害者合约执行一段代码导致的漏洞,所以叫做重入攻击。
为方便理解,鉴叔举个例子,比如小黑去买奶茶,因为店铺生意太好店员都忙的团团转,小黑先跟店员A说要一杯15元的奶茶,店员A忘记收钱就去 *** 奶茶了。小黑就趁着A不注意,又跟店员B说要一杯15元的奶茶,并且把原先那15元给了B。
等到A把奶茶给小黑时,小黑说钱已经给B了,B边做奶茶边说确实收到了小黑的钱,于是,A就放心得继续做其他生意了。
就这样,小黑只花了15元,骗到了2杯奶茶。
而黑客就是利用了im *** C资产所用的ERC777协议不兼容性,发起了重入攻击,将伪造数目的im *** C作为抵押物从Lendf.Me中骗走了成倍的资产。
在拿到币之后,这名黑客不断通过各大去中心化交易平台变现。
而Lendf.Me也发布了公告,宣布将现有合约永久关闭。
Lendf.Me上惨遭洗劫的投资人们,也在懵逼中接受了现实,毕竟是去中心化,平台是不负责的。
不过,接下来却发生了戏剧性的一幕:
4月19日22点12分,盗币黑客开始向Lendf.Me陆续返还资产,并在链上留下信息“Better Future”。
从链上数据显示,22点16分,黑客向Lendf.Me Admin地址转入126014PAX。
4月20日3点04分,黑客向Lendf.Me Admin地址转入320.277个H *** C
4月20日3点20分,黑客向Lendf.Me Admin地址转入381,162个HUSD
4月20日18点17分,Lendf.Me Admin在链上向黑客留下了信息”Contact us. For your better future“
到了4月21日下午,黑客向平台归还了几乎所有盗窃的代币,包括57992枚ETH、425.61枚MKR、13.7万枚DAI、50万枚USDT,以及252.34枚im *** C等。
在收到所有资产后,Lendf.Me团队启动了资产返还计划,确保用户的全部资产都能获得返还。
还好,这算是一个完美的结局。
那么为什么黑客愿意返还所有的资产,难道就是为了让Lendf.Me长点记性?
原来,因为这个黑客在去中心化交易所 1inch上暴露了自己的ip地址,警方和安全团队根据黑客攻击前后留下的痕迹,基本确定了黑客的画像,并且监控到了所有的资金流向。
这意味着,如果再进一步追查,是有可能锁定并抓捕到这名黑客的。
交易所1inch 和dForce团队也在不断配合新加坡警方给黑客施压,所以最终黑客迫于重重压力,不得不将资产返还给Lendf.Me。
有意思的是,1inch CEO Sergej Kunz这样评价这名黑客:
意思就是说他是一名优秀的程序员,但却是没有经验的黑客。
不过,虽然Lendf.Me丢的币都拿回来了,但在前一天被同样手法攻击的Uniswap却没有这么幸运,至今还没有找到黑客的踪迹,丢掉的ETH大概率也回不来了。
为什么受伤的总是DeFi
这次Lendf.Me被盗虽然有了一个侥幸的结局,但是我们不得不反思,为什么DeFi 项目这么容易被盗?黑客为什么总是喜欢盯着DeFi 搞事情?
1.开发者不重视智能合约的安全性
Compound创始人Leshner在Lendf.Me被盗一事发生后,立即发推特表示:
“如果一个项目无法足够专业,无法构建自己的智能合约,而是直接复制,或者在他人智能合约的基础上稍作修改,那么他们实际上没有考虑安全性问题的能力或者意愿。希望开发者和用户能从Lendf.Me事件中吸取教训。”
是的,他所说的直接复制别人智能合约的就是Lendf.Me。
当初Lendf.Me直接分叉了Compound v1的代码,并且没有考虑到太多安全性方面的问题,所以正是Lendf.Me的懒惰,导致了这次事故的发生。
实际上现在主流的DeFi协议都是基于以太坊 *** 建设的,这意味着以太坊出现过的各种漏洞,都可能在DeFi项目中出现。
比如这次事故中黑客所利用的重入攻击,早在2016年以太坊的The DAO事件中就出现过,当时黑客也是利用了类似的漏洞进行了重入攻击,导致了The DAO上价值约6千万美元的以太币被盗,最后还促使以太坊被迫硬分叉,分为以太坊 ETH 和以太经典 ETC 两条链。
血淋淋的教训在前,然而到了2020年,开发者们还是不重视代码和合约的安全。
2.监控系统相当不完善
前面提到,黑客是从4月19日8点58分开始攻击的,到11点32分黑客才搬完所有资产。
差不多2个半小时里,Lendf.Me的技术团队没有一点察觉,一直到12点57分,才陆续关闭了Lendf.Me和USDx合约。
这时候黄花菜都凉了。
由此可见,在黑客面前,Lendf.Me的监控系统几乎就是个摆设,根本无法及时预警系统资产出现的异常情况。
你放心把资产交给这样的DeFi团队嘛?
3.黑客攻击收益高
黑客的工作基本都是高风险高收益。
现在不知道有多少黑客盯着DeFi这座金矿,因为在DeFi领域,最常见的就是客户资产托管或借贷理财类的项目,这种业务形态决定了它会囤积大量的用户资产。
再加上代码都是开源的,对比中心化系统,黑客更容易找到系统中的漏洞。
这次事件中,黑客只用了同一个攻击手段,就在短短2个多小时盗走了2500万美金的资产。
并且因为去中心化资产匿名性和流通性更好,出手也方便,黑客攻击成本也相对更低。
所以鉴叔判断,DeFi被盗事件不会就这样消停下来,DeFi黑客提款机的称号也将继续。
鉴叔总结
这一次Lendf.Me被黑客攻击事件,给DeFi甚至是整个区块链行业都敲响了警钟。
现在区块链行业发展越来越快,区块链安全也越来越重要,开发者在做系统设计和开发的时候,一定要做好安全审计和漏洞排查,还要建立完善的风控体系,这样才能从源头上保证系统的安全性。
对于普通的投资人来说,如今的DeFi还非常稚嫩且脆弱,请谨慎参与。如果一定要玩,优先选择市场稳定性较高(至少平稳运营1年以上),并且有完备的安全审计报告的。
再就是一定要分散资产,不要把所有鸡蛋都放在同一个篮子里。
这个道理,说100遍都不嫌多啊。
动动手指转发这篇文章给身边的朋友,让大家都一定要提高警惕,避免自己的资产损失啊。
本文只是一个故事,请勿对号入座,不针对任何人。
开始:
我是一个 *** 丝,以前不是做互联网的。
有一天,我觉得在线下打工收入太低了于是我想在网上赚钱。
虽然我不是从业互联网的,但是好歹我也是上过半个大学的,对于电脑还是比较熟悉的,office绝对不是问题,电脑玩的很溜。
我记得以前谁跟我说过,有问题找度娘。
于是我打开百度,在网上搜索各种各样的赚钱项目或者赚钱 *** 。
我找到了很多的人的博客和很多的网赚论坛。
看到这里面发的都是月赚万元,甚至是几万,十几万,几十万的网赚项目,我感觉我找到了一个金矿。
于是我玩命的下载,学习,再找适合自己的,简单的暴利项目去实操。
结果,我发现,这些所谓的暴利项目都是什么B玩意,一个也赚不到钱。
既然,免费的不行,那我还是找点付费的项目吧。
看了一个又一个的网赚项目文案,加了很多的大师的微信,看到他们的朋友圈和网站上面晒出来的收款图都是日赚几百,几千的,我有点心动。
但是,毕竟要我掏钱的,我要认真斟酌一下,多看几个大师的朋友圈分享。
终于,再看了那么多的大师之后,我选择了一个相对来说比较简单的暴利项目,咬咬牙交了几千的学费,我不停的安慰我自己,只要我努力一点,学好这个项目,半个月就能把学费赚回来了。
可是,再一次我失望了,遇到了一个骗子。
之后,我又被骗了好几次。
突然,有一天,我灵光一闪。
tnnd,原来我早已经知道网上赚钱应该如何去赚了,只是我自己 *** 而已。
但是,想要赚钱,我必须还需要去学习点网上的技术。
首先,我要建个网站,然后还要学习一下SEO优化相关的。
于是,我下载了一些免费的建站教程,然后花了一个月的时间,照着做了一个网站。
之后,我又下载了一些免费的SEO课程,又大概的学习了一些东西,虽然不是很懂,但是不管了。
之后,我又注册了一些自媒体的平台。
然后,我又加入了1,2个网上比较有名的人建的圈子,例如:卢松松的兄弟会就是不错的选择,因为卢松松比较有名,影响力也比较大。
为什么要加入圈子呢?
因为我知道,圈子里面有流量,圈子的创始人有流量,而且很精准,我加入这个圈子里面能够获得很多盈利来源。
是的,你应该猜到了,别人是怎么卖项目骗我钱的,我就怎么卖项目去骗别人的钱。
但是,我聪明的地方就在这里,卖项目也是有技巧的,卖的好就叫做培训,例如搞个圈子。卖的不好才叫做骗钱。
有人会问我,你自己都不会,凭什么敢卖项目?
我很奇怪,卖项目跟我自己会不会做项目又有什么关系?
我只是一个生意人,靠卖项目赚钱而已,我对我自己的定位很精准。
学员要是有什么不会的问我,我自己也不会就百度,百度没有的我就瞎几把扯就好了,反正项目钱收到就好了,剩下的关我鸟事。
网站建好了之后,接下来我要开始对我自己进行包装。
于是,我开始经常写一些吹大牛逼的文章,例如:我是如何从日赚50到日赚1万的。
有人会问,你牛逼吹这么大,也不怕炸了?
怕什么,反正别人也不知道我是谁,也不知道我的名字到底是真的假的,更加不知道我个人的信息,大不了圈点钱以后推出培训这个圈子好了。
包装完了之后,我还要推广,于是我经常性的会在一些自媒体平台,网赚论坛,站长之家等平台发布一些我吹牛的文章和改编一些别人的文章。
慢慢的,有了流量,我终于开始在网上赚钱了。
经过了一段时间发展,已经有不少人关注我了,钱也赚到了不少了,有几十万了,于是我又想搞个大的,要不弄一次线下培训?价格收个1万?
嗯,也许是个不错的选择。
但是,在弄线下培训之前,我一定要先计划好。
不能把学员带到公司,因为我压根就没有公司,更加不能把学员带到我家里,后患无穷,而我自己也没有培训场地,怎么办?
前人指路,学学前辈就好了。
租个酒店的会议室,虽然要价上千一天,但是跟我收的培训费比起来又算什么,对不对。
说干就干,搞起来。
培训一次,学费1.5万,收了20个学生,一共收了30万学费,我tm的终于实现了我当年吹过的牛逼,我从日赚50到日赚1万了。
至于,这么高的学费,学员学不到东西,会不会投诉我,举报我之流的。
怕个鸟,最多就是经济纠纷。
来源:互联网
图片查看: | |
查询分类: | 产品公司注入 |
用户提问: | 黑客业务项目 |
状态: | 已解决 |
调查用时: | 916小时 |
1、找黑客没有必要为特定的机器写软件。在Unix上运行最重要的发明轮已经成为过去的事了。黑手机要多少钱看起来的但是到了今天,黑客这个词已经被用来指那些专门用电脑毁灭或恶作剧的人。解除王者防沉迷黑客哪个找靠谱滴滴优步司机不能检查周围滴滴车的数量。您可以在快车或汽车栏中注册滴滴旅行,以查看附近的滴滴车。
2、权力喜欢审查和保密。找站接网单结果表明,如果事先下载的软件驱动程序的所有补丁都被卸载,请恢复系统或重新安装,最近的升级硬件没有您认为是否有硬件。解除王者防沉迷黑客大多数真正的黑客认为他们是一个不负责任的懒惰的人。
3、看起来的找黑客网站黑手机要多少钱这一意义往往对符合之一条件的黑客造成严重的困扰。他们建议媒体称这群人为黑客。黑手机要多少钱经过一段时间的学习,你可能对知识块有更深的理解,你有自己的观点。解除王者防沉迷接单黑客世界著名的黑客强烈支持信息共享理论,即信息技术和知识应该由每个人共享,而不是由少数人垄断。
4、我想如果你没有电脑高烧,你就看不见了。如果你看看黑客是什么,现在有些特洛伊不仅没有看到它,而且你甚至看不到它。接单网站黑手机要多少钱黑客通常不使用软件攻击来解释黑客通常直接编写订单程序或直接攻击备注,如果用户知道软件木马,他们会下载并攻击他人的 *** 。黑客接单当然,黑客也可以尝试使用 *** 人远程控制软件远程控制计算机。
5、在Android手机上的黑客工具DSploit手机访问WLAN,您可以扫描同类设备的端口开放服务操作系统类型,以进行安全评估,甚至掌握他的包哪个找靠谱网站解除王者防沉迷看起来的目前,消防工程师考试主要以笔试为主要综合能力技术实践案例,分析了三个科目,即技术实践和案例分析。黑手机要多少钱哪个找靠谱黑客网站知道别人的手机号码如何知道他在哪里。你可以让他在微信上分享一下。如果特殊情况只能由公安机关来帮助你。
6、你会认为单词学习是一个多么有趣的游戏!网站黑客第二,第二,第十三层:应该说它比黑客帝国更精妙。找黑客网站不要在游戏中使用非法软件。
1、如果有危险的视频,你就不会被黑客欺骗。你不必进去下载另一个系统,如雨林木风。PE一般PE有密码破解器双击。黑手机要多少钱解除王者防沉迷接单黑客如果你想知道如何成为一个黑客,那就太好了。
2、黑客网站有很多,但你不认识你的同事,因为你想和你的女儿聊天,就像你的手机下的特洛伊木马。不是你的隐私。不是你的隐私。很可能是那个女人告诉同事的。找网站接单黑手机要多少钱回答蓝屏硬件的原因,解决蓝屏现象,以及内存大小、CPU频率、光驱硬盘碎片等。
3、答案通常是您的网站程序的安全问题,这将导致您在一段时间内听到任何网站被黑,就好像入侵一样。找黑客黑手机要多少钱你好,建议你不要下载和使用特洛伊木马病毒特洛伊木马病毒,这会对你的计算机造成损害。如果你使用过这种不安全的特洛伊木马病毒软件。解除王者防沉迷黑客看起来的防病毒软件是防止病毒感染的有效工具。应尽可能配备多个防病毒软件,因为每个反病毒软件都有自己的特点。
4、一个好年轻人刚刚在铁窗下度过了。解除王者防沉迷黑客哪个找靠谱黑手机要多少钱是啊,慢慢来。我有事要问你。找站接网单如果你想成为一个黑客,你必须完全相信它,尽可能地自动化无聊的工作,不仅是为了你自己,也是为了别人,尤其是其他黑客。
1、业务类型:看起来的黑手机要多少钱
2、业务费用:3310元(参考价格)
3、业务时间:2010年11月03日
4、质保时间:2026年07月15日
5、业务人姓名:王华红
其他问题提问 | 相关问题回答 |
---|---|
在哪能找到黑客高手啊 | 朋友游戏建设 |
专业的黑客怎么找 | 聊天产品号段 |
正规黑客联系 *** | 定位笔记本银行 |
联系黑客帮忙要多少钱 | 介绍密码情况 |
如何从网上寻找黑客 | 内容引擎命令 |
坚信许多 盆友都遇到过电脑上电脑蓝屏难题,可是许多 盆友对其无计可施,尽管出現电脑上蓝屏的原因有很多,可是以不变应万变,下边,我也给大伙儿介绍一下电脑蓝屏缘故及其处理电脑蓝屏的方式。电脑蓝屏缘故1、驱...
本文就让我议论ArrayBuffers和SharedArrayBuffers。 这是由于即便你正在运用具有主动内存办理的JavaScript,ArrayBuffers也可认为你供给一种方法来手动处理一...
什么是次贷危机(次贷危机是怎么发生的?)大家可以认真看看这篇,博主读了大量的金融史方面的书,才发现技术在进步,但是驱动人类行为的那些心理作用和金融原理在过去几百年里变化并不大,理解了这些,能对接下来的...
欺骗防御(Deception)是防御者得到观查攻击者个人行为的新起互联网防御战略,根据哄骗攻击者和故意运用曝露本身,便于科学研究工作人员可以设计方案出合理防护措施。欺骗防御技术性能够提高乃至有可能...
杜蕾斯和其署理公司用价钱汇报了我们,讲黄段子,也是分程度坎坷的。 本日是2019年04月19日,在正式开始这篇推送之前,先给各人普及下什么叫419。所谓419,就是取英文419谐音,4-four(f...
龙王三太子背后藏有钢筋龙脊 春节档电影《新神榜:哪吒重生》发布三太子角色预告,龙王三太子与“新哪吒”李云祥狭...