币圈盗币案大结局:受害者大获全胜,剧本痕迹明显,背后是否藏着“自导自演”的阴谋?
摘要:为了查询清楚事情的来龙去脉和后续或许的发展,本报记者采访到了业界安全范畴的顶尖企业慢雾科技合伙人兼产品担任人启富,他剖析了DeFi渠道Lendf.me被黑的相关细节,并对安全防护和出资者提出了许多主张。 记者 冉学东 见习记者 王永菲 北京报导这次竟是以黑客返还全额盗币作为“DeFi范畴最大的盗币案”的大结局。国内DeFi范畴较为闻名的假贷渠道lendf.me,其背面的公司为dForce,因为渠道系统缝隙问题被进犯者使用而形成出资者财物被盗,丢失超越2500万美元,事发后lendf.me渠道中止了服务,据慢雾科技查询4月21日进犯者现已将进犯所得财物简直如数返还。资金集合的当地便是黑客们狂欢的天堂,每次呈现盗币事情都会引起币圈的一阵慌张,2011曾有一个比特币大户账号被盗后黑客兜售致使比特币价格暴降90%。在所有的黑客进犯事情中,受影响最大的是出资者们,而他们的维权往往都是无疾而终。为了查询清楚事情的来龙去脉和后续或许的发展,本报记者采访到了业界安全范畴的顶尖企业慢雾科技合伙人兼产品担任人启富,他剖析了DeFi渠道Lendf.me被黑的相关细节,并对安全防护和出资者提出了许多主张。盗币事情是dForce为热度做的自导自演?《华夏时报》:本次DeFi渠道Lendf.me被黑的事情引起职业惊惧,您能大约的介绍一下事情的始末吗?启富:4月19日早上8、9点的时分进犯者使用lendf.me渠道智能合约的缝隙,盗取了渠道内许多数字钱银,总价值约2500万美金。进犯者在4月20日交还了部分资金,还给lendf.me渠道留下了“better future”,令重视者感触到了寻衅的滋味。据慢雾调查钱包地址买卖状况,截止到21日黑客现已如数交还悉数资金。《华夏时报》:如您所说,到4月21日,进犯者现已将2500万美金悉数交还,如同还有传言说多退了一些资金回来,针对盗币后交还的事情,有业界人士猜想:“这看起来像是dForce为热度做的自导自演?”启富:dForce自导自演的或许性不大,对自己渠道名誉的影响太大了。《华夏时报》:看dForce社群评论,他们给进犯者留言:“为了你的未来,请赶快联络咱们。”这种“要挟”进犯者的状况如同在业界仍是第一次。那像Lendf.me此次这样的币被盗走又送回来的进犯性事情多吗?进犯者为何要这样做?是一种寻衅吗?那像Lendf.me此次这样的进犯者有被查到的或许吗?启富:此前遇到过一次是以太坊经典(ETC)51%进犯的进犯者也将币偿还了。此次盗币偿还事情也不算是一种寻衅,依据慢雾安全团队的追寻,此次进犯者现已根本将盗币返还,传言是找到了进犯者的IP。有时分发作盗币事情后,黑客的身份也会经过反追寻追查到,此事很大程度上终究结果是两边达到友爱洽谈,进犯者返币后,被盗项目方不进行报警处理。在某些含义上说,Lendf.me应该感谢进犯者帮他们发现了这个缝隙。币圈许多项目方的客户财物都在“裸奔”《华夏时报》:区块链职业多次被黑帽黑客盗币,是币圈的技能还不行老练吗?有评论说:“币圈技能被黑客技能碾压了”,您怎样看待这个观点呢?黑客对币圈的安全要挟大吗?启富:一方面项目方本身没有满足的安全意识,没有寻求专业的安全审计团队去做项目审计,来确保项目的安全,导致币圈安全事情频发。另一方面项目方和买卖所也在常常做代码更新,审计需求的时刻较长,花费较大,所以审计做的不是那么及时。《华夏时报》:在慢雾科技以及其他安全公司做审计的币圈项目方和买卖所数量大约有多少呢?启富:依据咱们内部的计算,现在找咱们慢雾科技做审计的项目方数量大约在800多家。(注:据非小号显现,数字钱银币种数量达到了5635个,可见还有许多项目方的财物在“裸奔”。)《华夏时报》:最近还有一个很热的论题是:EOS生态圈了30多亿跑路了,许多资金短时刻涌进买卖所,有人猜想“买卖地点合作这个大资金盘来洗钱”,您怎样看待这个说法呢?启富:闻名、头部买卖所的风控团队一般会特别重视这类恶性事情,对触及这类恶性事情的充值记载进行审阅,假如有相关的资金转入买卖所,他们风控团队会阻挠。被盗事情后的反思《华夏时报》:慢雾科技专心于区块链生态安全,那针对此次Lendf.me的被盗事情,能给DeFi范畴的项目方提几个专业的安全主张吗?有什么防止进犯的解决计划吗?启富:业界许多项目方的危险意识不是很强,为了防止此类事情再次发作,慢雾团队给币圈的项目方提出以下主张:一、首要要在要害的事务操作方法中参加锁机制,如:OpenZeppelin 的 ReentrancyGuard;二、开发合约的时分选用先更改本合约的变量,再进行外部调用的编写风格;三、项目上线前请优异的第三方安全团队进行全面的安全审计,尽或许的发现潜在的安全问题;四,多个合约进行对接的时分也需求对多方合约进行代码安全和事务安全的把关,全面考虑各种事务场景相结合下的安全问题;五、合约尽或许的设置暂停开关,在呈现“黑天鹅”事情的时分能够及时发现并止损;六、安满是动态的,各个项目方也需求及时捕获或许与本身项目相关的要挟情报,及时排查潜在的安全危险。此次盗币事情算是满意结局,dForce终究给的声明除了抱歉,还给出几个即将采纳的计划:因为Lendf.Me的现有合约已数据污染,将被永久封闭,新产品将启用新合约;将于一周内发布财物返还的主张计划; 假如财物分配的计划经过,将赶快敞开并完结用户的财物分配工作。《华夏时报》:每次发作盗币事情,遭到丢失最大的仍是出资者,您能给出资者个人提一些专业性的出资安全主张吗?启富:慢雾安全团队对出资者个人有以下几个主张:一是挑选业界顶尖的买卖所出资买卖,在如火币、币安和OKEx这种大型买卖所出资买卖,即便不幸遭遇到了进犯者盗币事情,买卖所也会担任补偿客户的丢失。比方2019年币安被盗7000多枚比特币后,币安对出资者都做了补偿。二是数字钱银出资者能够选用冷钱包存储数字钱银,保护好秘钥和助记词就能够确保财物安全了。本次被盗事情也提醒了买卖者要重视项目方以及买卖所的风控及系统安全怎么,再挑选是否需求进行出资。责任编辑:孟俊莲 主编:冉学东

发表评论

电子邮件地址不会被公开。 必填项已用*标注