金色财经讯,4月26日,Lendf.Me官方称已将被盗的资产全数追回,并迁移到了冷钱包做后续分配。Lendf.Me表示,数据快照时间截取于2020年4月19日12点57分(UTC+8),区块高度9900772,合约被关闭时平台的资产和负债情况如下:
神鱼:Filecoin lotus节点的一些返回值不是很符合常规逻辑:神鱼及Cobo官方今日给出Filecoin“双花攻击”细节:Filecoin lotus节点提供了多个API用于链上交易的获取,例如ChainGetBlockMessages可以获取指定区块内的所有交易内容,StateGetReceipt可以获取指定交易ID对应的执行结果,此次被攻击的交易所就是采用这两个API来进行链上转账行为的解析,并基于此为用户入账。不过他们没有注意到,StateGetReceipt接口有个比较不符合常规逻辑思维的设计,就是在获取指定交易ID的执行结果时,如果这笔交易已经被RBF(replace by fee),则会返回最终RBF成功的那笔交易的执行结果,并且在返回值里没有任何的提示表明这笔是RBF后的交易的执行结果。
假设攻击者首先发送了TX1,对应的交易ID为TXID1,随后攻击者对TX1进行了RBF,生成TX2,对应的交易ID为TXID2,最终TX2上链成功。此时通过StateGetReceipt对TXID1和TXID2分别查询,都能得到执行正确的结果!
Cobo Custody技术团队在对接Filecoin的过程中已经发现了上述问题,因此没有采用ChainGetBlotckMessages和StateGetReceipt来获取链上的转账行为,而是采用ChainGetParentMessages和ChainGetParentReceipts来获取已经成功上链的交易,从而从根本上避免了被双花充值的风险,因此未受此次双花充值攻击的影响。
此外,在使用ChainGetParentMessages和ChainGetParentReceipt的过程中,Cobo Custody技术团队发现lotus节点的一些返回值也不是很符合常规逻辑思维,例如对于空块的处理是有一些问题的。Cobo Custody技术团队对此作了妥善的安全处理,在此也提示其他中心化托管机构需要仔细检查相关的对接代码,避免其他的双花充值攻击行为。[2021/3/19 19:00:06]
Lendf.Me平台用户可根据以下两种情况要回自己的资产:
CoinBene与币圈赛博达成战略合作:据官方消息,CoinBene与币圈赛博自媒体达成深度战略合作,币圈赛博签约成为CoinBene合约运营商,将享有全球市场运营、渠道商拓展及全方面业务拓展等权益。据悉,签约成为CoinBene满币运营商将享有专属客服及优享服务等超10+权益。赛博社区旗下有数十位分析师,善于利用技术分析及时捕捉行情走势,擅长波短交易,2020年所创最高收益率达34232%,给合作伙伴带来了很好的体验。CoinBene满币数字资产交易平台,在全球180多个国家和地区拥有500多万用户,合约日活跃用户数超1.5万,日均交易额20亿美元。CoinBene满币目前面向全球社群开放合作,主要在流量及渠道对接方面进行互相合作,为数字货币交易用户提供可信、可靠的交易平台。[2020/12/30 16:05:36]
对于只有存款、无借款的用户,可使用之前与Lendf.Me交互的原地址登陆https://www.lendf.me/,或者通过其它支持Lendf.Me的钱包登陆“资产返还系统”,点击相关的条款进行确认,即被视为发起退款申请,Lendf.Me将在一周内按原资产全部退还。
对于有借款的用户,首先查询存款/借款情况,用户进入“资产返还”系统后连接MetaMask钱包,或者使用移动端钱包进行操作,在还款截止时间前归还欠款。拿回抵押资产用户偿清借款后,资产返还系统后台经过自动化和人工双重对账并确认无误后,抵押资产会于24小时之内退还到用户的原有地址。
对于未偿清贷款的用户,在4月26日后的7天(包括第7天),或期间如果抵押率(抵押物市值/借贷市值)低于125%,全部剩余资产会按照当时的市场价格兑换成稳定币(包括USDT、USDC、PAX、TUSD、USDX、DAI),扣减借款额,按照账户当时的仓位净值(总存款-总借款)核算,并退还等值稳定币到用户的原有地址。
此前在4月19日,dForce借贷市场Lendf.Me遭到黑客攻击,价值约2500万美金的加密资产被盗,dForce锁仓资产美元价值下跌100%至6美元;
4月20日,dForce创始人杨民道表示,团队已与顶级安全公司联系,对Lendf.Me进行更全面的安全评估;与合作伙伴一起制定一项解决方案,对该系统进行资本重组;正与主要的交易所,OTC交易柜台以及执法机构合作,调查情况,阻止被盗资金的流动,并追踪黑客。
4月21日,黑客在多重压力下将所盗资产全部返还。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。