黑客从Uniswap交易所和Lendf.me借贷平台窃取了超过2500万美元的加密货币。
袭击分别发生在周末,星期六和星期日。尽管目前正在进行调查,但认为这两次攻击是相关的,并且很可能是同一团体或个人进行的。
根据调查人员的说法,黑客似乎将来自不同区块链技术的错误和合法功能链接在一起,以组织复杂的“重入攻击”。
重入攻击使黑客可以在原始交易被批准或拒绝之前循环重复提取资金。
Uniswap和Lendf.me之间的相似之处在于两个平台都使用:
Lendf.me协议 -dForce Foundation开发的一种去中心化金融(DeFi)协议,用于支持以太坊平台上的借贷操作。
imBTC-在以太坊平台上运行的令牌(硬币),与比特币加密货币的比率为1:1。
ERC- 777-以太坊区块链的基础技术之一,旨在支持智能合约(Lendf.me和imBTC都在以太坊平台上作为智能合约运行)。
imBTC背后的公司Tokenlon表示:“据我们所知,ERC-777令牌标准不存在安全漏洞。”
该公司在Uniswap和Lendf.me攻击的事后报告中写道:“但是,结合使用ERC777令牌和Uniswap / Lendf.Me合同可以实现再入攻击。”
该公司认为,黑客使用了 OpenZeppelin 于2019年7月在GitHub上发布的漏洞,该公司对加密货币平台执行安全审核。
在撰写本文时,Uniswap被认为损失了30万美元至110万美元的资金,而Lendf.me损失了超过2,450万美元。
黑客使用再入攻击将资金从每个平台转移到他们的钱包中,然后立即将资金转移到其他帐户。
这两个网站均已关闭,以防止进一步攻击。Tokenlon还暂停了其imBTC令牌,并阻止所有新交易,以防止黑客对其他平台进行新的攻击。