In che modo Lendf.me di DeFi ha perso 25 milioni di dollari in Ethereum, Tether e altro: un guasto

Aggiornamento (14:30 PST di giovedì): Con una mossa a sorpresa, l’hacker ha restituito tutti i token Ethereum ed ERC persi dopo che presumibilmente avevano fatto trapelare il loro indirizzo IP a uno scambio che stavano utilizzando. La polizia di Singapore e altre autorità sarebbero state coinvolte in questa operazione. L’identità dell’hacker non è stata resa pubblica. dForce sta attualmente lavorando a un protocollo per “rendere gli utenti integri”, come ha affermato in una nota accorata il CEO del team.

Il protocollo DeFi (decentralized finance) basato su Ethereum Lendf.me ha appena perso $ 25 milioni in un brutale exploit. Ecco cosa è successo e cosa verrà dopo per le persone coinvolte.

L’hack di Ethereum DeFi App Lendf.me

La sera del 18 aprile, gli utenti su Twitter hanno iniziato a farlo Avviso che Lendf.me stava perdendo fondi a un ritmo rapido, a un ritmo che sarebbe considerato non sicuro per gli standard normali.

Dati indicati che nell’arco di poche ore il protocollo aveva perso il 57% del suo valore bloccato. Contemporaneamente, Il sito web di Lendf.me ha mostrato un banner sia in cinese mandarino che in inglese dicendo che gli utenti non devono depositare fondi nel protocollo.

Ma era troppo tardi. Quando l’errore è stato rilevato, il protocollo era vuoto; il valore di $ 25 milioni di Ethereum, USDT di Tether e altri token principali che erano stati depositati erano andati, ritirato principalmente a questo indirizzo. In totale, sono stati persi $ 25 milioni, con la maggior parte del valore perso contenuto in token come Ethereum, USD Coin, USDT e imBTC, un Bitcoin tokenizzato.

Cosa è successo, secondo un’analisi di una società di sicurezza informatica cripto-centrica, era che un utente malintenzionato sfruttava il codice danneggiato relativo a imBTC, una versione di Bitcoin tokenizzato che Lendf.me supportava.

Il codice – relativo alla funzione “tokensToSend ()” – permetteva all’attaccante di aumentare il suo saldo di imBTC su Lendf.me percepito dal server senza che lui effettivamente depositasse l’importo da lui indicato. Dopo aver sfruttato questa funzione non funzionante più volte in quello che è stato chiamato un “attacco di rientro”, il sito ha registrato di avere sufficienti garanzie per ritirare tutti i token che erano stati depositati, con conseguente cancellazione dei fondi.

Immagine per gentile concessione di PeckShield

Un exploit simile è stato utilizzato per svuotare un mercato di scambio decentralizzato imBTC di $ 300.000 di token circa 12 ore prima dell’hacking di Lendf.me, il che significa che la scritta era sul muro.

L’attacco è avvenuto letteralmente quattro giorni dopo l’annuncio di dForce che aveva completato un round di finanziamento di $ 1,5 milioni, che ha visto la partecipazione del fondo crittografico Multicoin Capital, dell’exchange di asset digitali Huobi e di un ramo di investimento della quinta banca cinese.

È una storia continua

Mentre i fondi coinvolti in truffe crittografiche e hack sono il più delle volte irrecuperabili, i singoli utenti del protocollo e dForce stesso stanno cercando di modificare la situazione.

Poiché è possibile includere messaggi nelle transazioni Ethereum convertendo il testo in codice esadecimale, molti hanno iniziato a contattare l’indirizzo dell’hacker sulla scia dell’attacco.

Alcuni hanno chiesto indietro i loro soldi, con una scrittura: “Quei soldi, i $ 10.700, erano praticamente tutti i miei risparmi in contanti. Non so quale sia la tua [sic] situazione ma sono personalmente ferito. Per favore, fai quello che pensi sia giusto. “

In che modo Lendf.me di DeFi ha perso $ 25 milioni in Ethereum, Tether e altro: un guasto

Altri si sono presi il tempo per farlo scherzo con l’hacker.

E dForce, tramite un indirizzo che gestiva il contratto Lendf.me, ha tentato di mettersi in contatto con l’aggressore, condividendo l’indirizzo email aziendale. L’attaccante, con sorpresa di molti, ha effettivamente risposto, indicato dalla richiesta di follow-up di dForce per l’individuo di “controllare la propria posta elettronica”.

I dettagli della negoziazione in corso non sono pubblici, ma alcuni hanno proposto che venga stipulato un accordo legale in cui l’hacker può andarsene con piena immunità, ma solo con una parte dei fondi. Nello specifico, il 20% della cifra di oltre $ 20 milioni è una somma che è stata proposta.

La nota di dForce ha confermato che i negoziati sono iniziati. Come ha scritto il CEO Mindao Yang:

“Stiamo facendo tutto quanto in nostro potere per contenere la situazione. Abbiamo contattato le forze dell’ordine in diverse giurisdizioni, abbiamo contattato gli emittenti di risorse e gli scambi per rintracciare e inserire nella lista nera gli indirizzi degli hacker e abbiamo coinvolto i nostri team legali “.

Sfortunatamente, non sembrano esserci molti precedenti negli scambi o nelle forze dell’ordine che catturano gli hacker degli scambi o delle piattaforme DeFi. Dopotutto, Bitcoin, Ethereum e altre criptovalute possono essere facilmente sottratti tramite “mixer”, quindi venduti tramite scambi che non richiedono invii KYC o quelli che non partecipano a un’ampia due diligence.

Aggiornamento (12:30 PST di domenica): L’attaccante sta restituendo una parte dei fondi, da quando ha restituito 320 Huobi Bitcoin (HBTC) e 381.162 Huobi USD (HUSD) al team dForce, e ha anche iniziato a liquidare alcuni dei prestiti che ha preso tramite altri protocolli finanziari come Compound e Aave. Alcuni hanno suggerito che l’hacker restituirà solo fondi che le parti centralizzate possono bloccare, come le stablecoin semicentralizzate, ma non asset come Ethereum e DAI di Maker. 

Uno dei tanti hack di Ethereum

Sebbene questo sia apparentemente il peggior hack di un’applicazione DeFi di sempre, è l’ultimo di una serie di exploit utilizzati per drenare gli utenti di Ethereum dei loro sudati asset.

Camila Russo – una giornalista di Bloomberg diventata creatrice di contenuti per Ethereum – ha sottolineato che prima della debacle di Lendf, c’erano stati exploit a marzo, a febbraio e poi a giugno dello scorso anno. Ogni attacco differiva per dimensioni, ma si svolgeva attraverso una serie di protocolli e coinvolgeva una serie di diverse criptovalute, dimostrando che questi problemi “non sono solo un problema del progetto”. Lei elaborato:

“Non è solo un problema del progetto. DeFi ha bisogno di standard di sicurezza migliori o continueremo a vedere il rovescio della medaglia di quell’arma a doppio taglio di componibilità “.

La conclusione di tutto questo è che molti credono che la DeFi potrebbe non essere pronta per diventare mainstream, nonostante il suo potenziale come caso d’uso per Ethereum. Come mi ha detto in un’intervista Jon Jordan, Direttore delle comunicazioni di DAppRadar:

“Non credo che nessuno pensi che l’attuale generazione di DeFi sia pronta per essere distribuita al mainstream. In totale, ci sono probabilmente meno di 10.000 persone che utilizzano i protocolli DeFi, confrontalo con Binance “.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me