幣圈盜幣案大結局:受害者大獲全勝 疑自導自演

（原標題：幣圈盜幣案大結局：受害者大獲全勝，劇本痕跡明顯，背後是否藏著「自導自演」的陰謀？）

華夏時報記者冉學東 見習記者 王永菲 北京報導

這次竟是以黑客返還全額盜幣作為「DeFi領域最大的盜幣案」的大結局。

國內DeFi領域較為知名的借貸平臺lendf.me，其背後的公司為dForce，由於平臺系統漏洞問題被攻擊者利用而造成投資者資產被盜，損失超過2500萬美元，事發後lendf.me平臺停止了服務，據慢霧科技調查4月21日攻擊者已經將攻擊所得資產幾乎如數返還。

資金聚集的地方就是黑客們狂歡的天堂，每次出現盜幣事件都會引起幣圈的一陣慌亂，2011曾有一個比特幣大戶帳號被盜後黑客拋售致使比特幣價格暴跌90%。在所有的黑客攻擊事件中，受影響最大的是投資者們，而他們的維權往往都是無疾而終。

為了調查清楚事件的來龍去脈和後續可能的進展，本報記者採訪到了業內安全領域的頂尖企業慢霧科技合伙人兼產品負責人啟富，他分析了DeFi平臺Lendf.me被黑的相關細節，並對安全防禦和投資者提出了諸多建議。

盜幣事件是dForce為熱度做的自導自演?

《華夏時報》：本次DeFi平臺Lendf.me被黑的事件引起行業恐慌，您能大概的介紹一下事件的始末嗎？

啟富：4月19日早上8、9點的時候攻擊者利用lendf.me平臺智能合約的漏洞，盜取了平臺內大量數字貨幣，總價值約2500萬美金。攻擊者在4月20日退還了部分資金，還給lendf.me平臺留下了「better future」，令關注者感受到了挑釁的味道。據慢霧觀察錢包地址交易情況，截止到21日黑客已經如數退還全部資金。

《華夏時報》：如您所說，截至4月21日，攻擊者已經將2500萬美金全部退還，好像還有傳言說多退了一些資金回來，針對盜幣後退還的事件，有業內人士猜測：「這看起來像是dForce為熱度做的自導自演？」

啟富：dForce自導自演的可能性不大，對自己平臺聲譽的影響太大了。

《華夏時報》：看dForce社群討論，他們給攻擊者留言：「為了你的未來，請儘快聯繫我們。」這種「威脅」攻擊者的情況好像在業內還是第一次。那像Lendf.me此次這樣的幣被盜走又送回來的攻擊性事件多嗎？攻擊者為何要這樣做？是一種挑釁嗎？那像Lendf.me此次這樣的攻擊者有被查到的可能嗎？

啟富：此前遇到過一次是以太坊經典(ETC)51%攻擊的攻擊者也將幣歸還了。此次盜幣歸還事件也不算是一種挑釁，根據慢霧安全團隊的追蹤，此次攻擊者已經基本將盜幣返還，傳言是找到了攻擊者的IP。有時候發生盜幣事件後，黑客的身份也會通過反追蹤追查到，此事很大程度上最終結果是雙方達成友好協商，攻擊者返幣後，被盜項目方不進行報警處理。在某些意義上說，Lendf.me應該感謝攻擊者幫他們發現了這個漏洞。

幣圈很多項目方的客戶資產都在「裸奔」

《華夏時報》：區塊鏈行業屢次被黑帽黑客盜幣，是幣圈的技術還不夠成熟嗎？有評論說：「幣圈技術被黑客技術碾壓了」，您怎麼看待這個看法呢？黑客對幣圈的安全威脅大嗎？

啟富：一方面項目方本身沒有足夠的安全意識，沒有尋求專業的安全審計團隊去做項目審計，來保證項目的安全，導致幣圈安全事件頻發。

另一方面項目方和交易所也在經常做代碼更新，審計需要的時間較長，花費較大，所以審計做的不是那麼及時。

《華夏時報》：在慢霧科技以及其他安全公司做審計的幣圈項目方和交易所數量大概有多少呢？

啟富：根據我們內部的統計，目前找我們慢霧科技做審計的項目方數量大概在800多家。

（註：據非小號顯示，數字貨幣幣種數量達到了5635個，可見還有很多項目方的資產在「裸奔」。）

《華夏時報》：最近還有一個很熱的話題是：EOS生態圈了30多億跑路了，大量資金短時間湧進交易所，有人猜測「交易所在配合這個大資金盤來洗錢」，您怎麼看待這個說法呢？

啟富：知名、頭部交易所的風控團隊一般會特別關注這類惡性事件，對涉及這類惡性事件的充值記錄進行審核，如果有相關的資金轉入交易所，他們風控團隊會阻止。

被盜事件後的反思

《華夏時報》：慢霧科技專注於區塊鏈生態安全，那針對此次Lendf.me的被盜事件，能給DeFi領域的項目方提幾個專業的安全建議嗎？有什麼避免攻擊的解決方案嗎？

啟富：業內很多項目方的風險意識不是很強，為了避免此類事件再次發生，慢霧團隊給幣圈的項目方提出以下建議：一、首先要在關鍵的業務操作方法中加入鎖機制，如：OpenZeppelin 的 ReentrancyGuard；二、開發合約的時候採用先更改本合約的變量，再進行外部調用的編寫風格；三、項目上線前請優秀的第三方安全團隊進行全面的安全審計，儘可能的發現潛在的安全問題；四，多個合約進行對接的時候也需要對多方合約進行代碼安全和業務安全的把關，全面考慮各種業務場景相結合下的安全問題；五、合約儘可能的設置暫停開關，在出現「黑天鵝事件」事件的時候能夠及時發現並止損；六、安全是動態的，各個項目方也需要及時捕獲可能與自身項目相關的威脅情報，及時排查潛在的安全風險。

此次盜幣事件算是圓滿結局，dForce最終給的聲明除了道歉，還給出幾個將要採取的方案：

由於Lendf.Me的現有合約已數據汙染，將被永久關閉，新產品將啟用新合約；將於一周內公布資產返還的建議方案； 如果資產分配的方案通過，將儘快開啟並完成用戶的資產分配工作。

《華夏時報》：每次發生盜幣事件，受到損失最大的還是投資者，您能給投資者個人提一些專業性的投資安全建議嗎？

啟富：慢霧安全團隊對投資者個人有以下幾個建議：一是選擇業內頂尖的交易所投資交易，在如火幣、幣安和OKEx這種大型交易所投資交易，即使不幸遭遇到了攻擊者盜幣事件，交易所也會負責賠償客戶的損失。比如2019年幣安被盜7000多枚比特幣後，幣安對投資者都做了賠償。二是數字貨幣投資者可以選用冷錢包存儲數字貨幣，保護好秘鑰和助記詞就可以保證資產安全了。

本次被盜事件也提醒了交易者要關注項目方以及交易所的風控及系統安全如何，再選擇是否需要進行投資。

責任編輯：孟俊蓮 主編：冉學東

本文來源：華夏時報 責任編輯：楊斌_NF4368