替代资产增长支持蓝天利润激增130% FiREapps任命产品管理总经理 ICE Endex完成GasTera储气罐拍卖 华尔街视界和MT Newswires帮助量化发现Alpha Linedata收购Gravitas Valphi推出由DataArt构建的财务分析工具 SkyBridge Capital出售Anthony Scaramucci的多数股权以立即辞职 Lyxor表示,对冲基金在政治和地缘政治压力下具有弹性 RWC全球视野基金预计三年内将获得19%的回报 欧洲重组预计将在2017年达到下一个高峰 DTCC任命总顾问 Energie Steiermark选择Ancoa进行能源贸易监控 使用SPC作为新兴管理器平台 EBS Live Ultra以5ms的间隔提供数据 对冲基金行业的资产管理规模在2016年超过32亿美元 光速机构推出主要经纪部门 Bricknode在云中启动完整的经纪系统 使用SPC作为新兴管理器平台 FiREapps任命产品管理总经理 EBS Live Ultra以5ms的间隔提供数据 Linedata收购Gravitas DTCC任命总顾问 欧洲重组预计将在2017年达到下一个高峰 Energie Steiermark选择Ancoa进行能源贸易监控 LME首席执行官退休 FundRock收购基金合作伙伴 国际投资者将通过Euroclear进入智利 Torstone与Unavista合作提供MiFIR报告解决方案 Silverfinch使用PRIIP模板加强数据模型 RJ O'Brien任命伦敦分公司总经理 FundRock收购基金合作伙伴 CRS下的税收报告将于2017年开始 一月份投资者信心下降0.3点 Lyxor表示,制药并购将提高事件驱动型对冲基金的收益 哈特拉斯基金会庆祝纪律部队基金成立三周年 巴克莱对冲基金指数在12月上涨1.22% PEGAS推出时差产品 金融服务业在2016年发现高水平的欺诈和风险事件 Castle Hall Alternatives扩展到阿布扎比 MSCI任命证券化产品研究负责人 税务从业人员詹姆斯·R·布朗(James R Brown)重新加入绳索与amp灰色 阿尔格收购Weatherbie Capital 税务从业人员詹姆斯·R·布朗(James R Brown)重新加入绳索与amp灰色 Silverfinch使用PRIIP模板加强数据模型 对冲基金在2016年经过风险调整后胜过股票和债券 EISWallet在退税截止日期之前启动 CFTC任命市场监督部总监 TABB说,衡量对于真正了解流动性成本至关重要 CBOE推出标准普尔500范围保费收入基金 Ramius首席执行官辞职寻求新的职业机会
您的位置:首页 >行情 >

币圈盗币案大结局:受害者大获全胜 剧本痕迹明显

2020-04-22 14:07:06 来源:新浪财经综合

原标题:币圈盗币案大结局:受害者大获全胜,剧本痕迹明显,背后是否藏着“自导自演”的阴谋?

来源:华夏时报

华夏时报(chinatimes.net.cn)记者冉学东 见习记者 王永菲 北京报道

这次竟是以黑客返还全额盗币作为“DeFi领域最大的盗币案”的大结局。

国内DeFi领域较为知名的借贷平台lendf.me,其背后的公司为dForce,由于平台系统漏洞问题被攻击者利用而造成投资者资产被盗,损失超过2500万美元,事发后lendf.me平台停止了服务,据慢雾科技调查4月21日攻击者已经将攻击所得资产几乎如数返还。

资金聚集的地方就是黑客们狂欢的天堂,每次出现盗币事件都会引起币圈的一阵慌乱,2011曾有一个比特币大户账号被盗后黑客抛售致使比特币价格暴跌90%。在所有的黑客攻击事件中,受影响最大的是投资者们,而他们的维权往往都是无疾而终。

为了调查清楚事件的来龙去脉和后续可能的进展,本报记者采访到了业内安全领域的顶尖企业慢雾科技合伙人兼产品负责人启富,他分析了DeFi平台Lendf.me被黑的相关细节,并对安全防御和投资者提出了诸多建议。

盗币事件是dForce为热度做的自导自演?

《华夏时报》:本次DeFi平台Lendf.me被黑的事件引起行业恐慌,您能大概的介绍一下事件的始末吗?

启富:4月19日早上8、9点的时候攻击者利用lendf.me平台智能合约的漏洞,盗取了平台内大量数字货币,总价值约2500万美金。攻击者在4月20日退还了部分资金,还给lendf.me平台留下了“better future”,令关注者感受到了挑衅的味道。据慢雾观察钱包地址交易情况,截止到21日黑客已经如数退还全部资金。

《华夏时报》:如您所说,截至4月21日,攻击者已经将2500万美金全部退还,好像还有传言说多退了一些资金回来,针对盗币后退还的事件,有业内人士猜测:“这看起来像是dForce为热度做的自导自演?”

启富:dForce自导自演的可能性不大,对自己平台声誉的影响太大了。

《华夏时报》:看dForce社群讨论,他们给攻击者留言:“为了你的未来,请尽快联系我们。”这种“威胁”攻击者的情况好像在业内还是第一次。那像Lendf.me此次这样的币被盗走又送回来的攻击性事件多吗?攻击者为何要这样做?是一种挑衅吗?那像Lendf.me此次这样的攻击者有被查到的可能吗?

启富:此前遇到过一次是以太坊经典(ETC)51%攻击的攻击者也将币归还了。此次盗币归还事件也不算是一种挑衅,根据慢雾安全团队的追踪,此次攻击者已经基本将盗币返还,传言是找到了攻击者的IP。有时候发生盗币事件后,黑客的身份也会通过反追踪追查到,此事很大程度上最终结果是双方达成友好协商,攻击者返币后,被盗项目方不进行报警处理。在某些意义上说,Lendf.me应该感谢攻击者帮他们发现了这个漏洞。

币圈很多项目方的客户资产都在“裸奔”

《华夏时报》:区块链行业屡次被黑帽黑客盗币,是币圈的技术还不够成熟吗?有评论说:“币圈技术被黑客技术碾压了”,您怎么看待这个看法呢?黑客对币圈的安全威胁大吗?

启富:一方面项目方本身没有足够的安全意识,没有寻求专业的安全审计团队去做项目审计,来保证项目的安全,导致币圈安全事件频发。

另一方面项目方和交易所也在经常做代码更新,审计需要的时间较长,花费较大,所以审计做的不是那么及时。

《华夏时报》:在慢雾科技以及其他安全公司做审计的币圈项目方和交易所数量大概有多少呢?

启富:根据我们内部的统计,目前找我们慢雾科技做审计的项目方数量大概在800多家。

(注:据非小号显示,数字货币币种数量达到了5635个,可见还有很多项目方的资产在“裸奔”。)

《华夏时报》:最近还有一个很热的话题是:EOS生态圈了30多亿跑路了,大量资金短时间涌进交易所,有人猜测“交易所在配合这个大资金盘来洗钱”,您怎么看待这个说法呢?

启富:知名、头部交易所的风控团队一般会特别关注这类恶性事件,对涉及这类恶性事件的充值记录进行审核,如果有相关的资金转入交易所,他们风控团队会阻止。

被盗事件后的反思

《华夏时报》:慢雾科技专注于区块链生态安全,那针对此次Lendf.me的被盗事件,能给DeFi领域的项目方提几个专业的安全建议吗?有什么避免攻击的解决方案吗?

启富:业内很多项目方的风险意识不是很强,为了避免此类事件再次发生,慢雾团队给币圈的项目方提出以下建议:一、首先要在关键的业务操作方法中加入锁机制,如:OpenZeppelin 的 ReentrancyGuard;二、开发合约的时候采用先更改本合约的变量,再进行外部调用的编写风格;三、项目上线前请优秀的第三方安全团队进行全面的安全审计,尽可能的发现潜在的安全问题;四,多个合约进行对接的时候也需要对多方合约进行代码安全和业务安全的把关,全面考虑各种业务场景相结合下的安全问题;五、合约尽可能的设置暂停开关,在出现“黑天鹅”事件的时候能够及时发现并止损;六、安全是动态的,各个项目方也需要及时捕获可能与自身项目相关的威胁情报,及时排查潜在的安全风险。

此次盗币事件算是圆满结局,dForce最终给的声明除了道歉,还给出几个将要采取的方案:

由于Lendf.Me的现有合约已数据污染,将被永久关闭,新产品将启用新合约;将于一周内公布资产返还的建议方案; 如果资产分配的方案通过,将尽快开启并完成用户的资产分配工作。

《华夏时报》:每次发生盗币事件,受到损失最大的还是投资者,您能给投资者个人提一些专业性的投资安全建议吗?

启富:慢雾安全团队对投资者个人有以下几个建议:一是选择业内顶尖的交易所投资交易,在如火币、币安和OKEx这种大型交易所投资交易,即使不幸遭遇到了攻击者盗币事件,交易所也会负责赔偿客户的损失。比如2019年币安被盗7000多枚比特币后,币安对投资者都做了赔偿。二是数字货币投资者可以选用冷钱包存储数字货币,保护好秘钥和助记词就可以保证资产安全了。

本次被盗事件也提醒了交易者要关注项目方以及交易所的风控及系统安全如何,再选择是否需要进行投资。

责任编辑:孟俊莲 主编:冉学东

免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。

今日中国财经