江苏龙网

  1. 首页 > 资讯 > 科技 > >

『黑客』黑客“洗钱“意外留下元数据?被迫还回2500万美金


北京联盟_本文原题:黑客“洗钱“意外留下元数据?被迫还回2500万美金
4月18日上午 , Uniswap平台遭受重入攻击后 , 隔天去中心化借贷平台Lendf.Me同样遭受攻击 , 且两次攻击手法极为类似 , 推断为同一团体或个人所为 。
最后 , Uniswap预计损失30万~110万美元 , Lendf.me借贷平台预计损失约2500万美元的资金 。
但是!令人震惊的事情发生了 。
黑客在2天内把钱还给了Lendf.Me(此处心疼Uniswap) 。 4月20日先是退还了279万美金 , 再是4月21日退还剩余的2200万美金 。
攻击一天 , 收拾烂摊子(还钱)两天 , 3天白忙活 。
此次攻击 , 黑客利用ERC-777标准与其他平台的兼容性问题 , 在进行ETH-imBTC交易时连续利用智能合约提取资金 , 执行重入攻击 , 反复覆盖自己的资金余额 , 从而实现可提现资金的不断翻倍 , 循环套利 。
【『黑客』黑客“洗钱“意外留下元数据?被迫还回2500万美金】不得不说 , DeFi安全问题一直被诟病 。 由于其开放性:一是对用户的开放性 , 二是合约间的开放性 , 所以 DeFi 只要有一个模块出了问题 , 就可能拖垮整个生态 , 因此极易成为黑客的攻击目标 。
『黑客』黑客“洗钱“意外留下元数据?被迫还回2500万美金
本文插图

Compound 创始人 Leshner 在 Lendf.Me 被盗一事发生后 , 发推特表示:希望开发者和用户能从 lendf.Me 事件中吸取教训 。
在成功盗取2500万美金后 , 由于这类非法手段获得的加密货币(俗称“黑钱”) , 很难直接地“安全”使用 。 为了躲过追踪 , 黑客会借助交易所和OTC交易商的力量 , 通过复杂的交易手段来完成“洗钱” 。 然而 , 在黑客使用1inch.exchange.com来交换一定比例的资金的过程中 , 却意外留下了重要的元数据 。 正是这些元数据泄露了黑客的重要信息 , 比如IP地址、他们所使用的Mac电脑的系统语言设置为英语等 。
『黑客』黑客“洗钱“意外留下元数据?被迫还回2500万美金
本文插图

此外 , Lendf.me平台使用的内容交付网络CDN也进一步帮助了调查人员 , 这也给了黑客更大的压力 。
最后 , 黑客不得不退还这笔钱(2500万美金在转换交易过程中价值略微下降 , 降至2430美金) 。
『黑客』黑客“洗钱“意外留下元数据?被迫还回2500万美金
本文插图

加密货币交易的高价值使其一直以来都是网络攻击的重点目标 , 但在黑客攻击事件中 , 类似Lendf.me事件的结果却很罕见 , 只能说是意外的好结局 。 但这次攻击事件也给了我们一些思考:
1、管理员可以采取更强有力的安全措施 , 比如尝试将尽可能多的钱/货币放入与互联网断开的冷钱包中 。
2、交易所和OTC交易商可以做好客户信息的合理搜集和保存、地址监控和资金流动监测 , 从而及时发现非法资金流动并上报 , 最大程度地挽回损失 。
3、监管机构可以串联攻击者盗取加密货币后的行为逻辑 , 多方面多渠道搜集信息 , 还原资金流向 。
*本文作者:kirazhou , 转载请注明来自FreeBuf.COM


    推荐阅读


    上一篇:@落井下石,“捅刀”华为执行“禁令”的伟创力,现在自作自受!

    下一篇:『概念车』续航653km 北汽ARCFOX α-T预售28万元起