作者:罗滔
继北京时间4月18日上午8:58Uniswap平台遭受重入攻击后,Lendf.Me于北京时间4月19日上午8点45分再次遭受攻击。据悉,两次攻击手法极为类似,推断为同一团体或个人所为。
黑客均利用ERC-777标准与其他平台的兼容性问题,在进行ETH-imBTC交易时连续利用智能合约提取资金,执行重入攻击,反复覆盖自己的资金余额,实现可提现资金的不断翻倍,进而循环套利。Uniswap预计损失了30万美元至110万美元的资金,Lendf.me借贷平台预计损失约2500万美元的资金。
Lendf.Me于去年9月推出,是由dForce主导开发的去中心化借贷市场协议。
ERC-777是以太坊区块链的基础技术之一,旨在支持智能合约。
imBTC在以太坊平台上运行的以1:1锚定比特币的ERC-777代币,采用ERC-777代币标准规范,由Tokenlon负责发行和监管。
此次dForce遭受黑客攻击事件,是自今年2月份bZx攻击事件后,又一起利用DeFi的系统安全性漏洞进行的攻击。
Ripple律师:如果SEC赢得了这场官司,SEC主席和参议员沃伦的反加密大军将会全力出击:金色财经报道,Ripple律师John E Deaton针对美SEC曾要求Coinbase停止除比特币以外的所有交易事件发文称,现在您可以真正看到XRP裁决的重要性。如果SEC赢得了这场官司,SEC主席Gary Gensler和美国参议员伊丽莎白·沃伦(Elizabeth Warren)的反加密大军将会全力出击。当我将Ripple XRP案件称为现代史上最重要的非欺诈性SEC执法行动时,这并不像一些人所说的那样夸张。[2023/7/31 16:08:36]
慢雾安全团队提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。去中心化交易平台Tokenlon已宣布暂停imBTC合约的转账功能。dForce创始人杨民道写给公众的信中也表示“…与主流交易所、OTC交易商、机构积极配合展开相关调查,竭尽全力追索被盗款项,追踪黑客动态…”
SBF担心美国检方迟迟不交出证据而影响其律师对刑事审判的辩护准备工作:6月7日消息,前FTX首席执行官Sam Bankman-Fried(SBF)的律师于6月5日向美国地区法官Lewis A. Kaplan发送一份信函,称检察官没有交出原定于3月底发现的5个电子设备的所有内容,由于离审判日期还有不到四个月,辩方担心,迟提出如此大量且重要的发现将影响辩方的准备工作。据悉,这些设备包括Alameda Research前首席执行官Caroline Ellison的一台笔记本电脑和iPhone,以及FTX联合创始人Gary Wang的一台笔记本电脑。律师还写道:“这些迟到的文件对辩方正确准备审判的能力产生了影响,到目前为止,这五台设备中的文件都很庞大,总共有360多万份,共计1000多万页。”
此外,知情人士表示,受聘于FTX的投资银行Perella Weinberg一直在向潜在投资者出售价值数亿美元的人工智能公司Anthropic的股票。根据FTX在2022年11月破产时的资产负债表,该公司持有价值5亿美元的Anthropic股票。[2023/6/7 21:21:24]
Lendf.Me黑客攻击事件引发的反思考
David Kleiman兄弟提起诉讼,指控CSW律师在审判期间使陪审团对其产生偏见:4月9日消息,上周五,已故计算机科学家David Kleiman代表方就佛罗里达州法院针对Kleiman的前商业伙伴、自称比特币创造者的CSW(Craig Wright)的裁决提起上诉,这是一场关于知识产权和目前价值数十亿美元的比特币持仓的纠纷。
去年12月,迈阿密联邦陪审团裁定Kleiman和CSW的前联合企业获得1亿美元赔偿,认定CSW获得了属于该企业的比特币相关知识产权,如源代码。但陪审团也驳回了David Kleiman代表方对价值数十亿美元的比特币持仓的所有权主张,并澄清了CSW的盗窃和欺诈指控。陪审团没有判定Kleiman的财产本身有任何损失。
据悉,Kleiman的兄弟Ira于2018年提起诉讼,当时表示这些比特币的价值超过100亿美元。如今,本案涉及的110万枚比特币价值超过470亿美元。
Kleiman目前正在对一项裁决提出上诉,该裁决驳回了他对新审判的申请,理由是他声称CSW的律师使陪审团对他产生偏见。Kleiman要求进行新的审判,因为CSW的律师多次告诉陪审员,David与Ira两兄弟关系疏远,包括提到2013年David去世时,Ira已经三年多没见过他了。他辩称,这是试图说服陪审团,他“在某种程度上不配”得到对他有利的裁决。
美国地方法官Beth Bloom在2月份拒绝了Kleiman的请求,部分原因是他在审判中没有对这些陈述提出异议。Bloom还说,她不认为这些陈述有足够的偏见,有理由重新进行审判。(路透社)[2022/4/9 14:14:29]
黑客通过非法手段获得的加密货币,俗称“黑钱”,难以“安全”地使用。为了避免机关的追踪,势必要对非法来源的资金进行掩饰,使其看起来“合法”、“清白”,而通常采取的掩饰手段便是借助交易所和OTC交易商的力量,通过复杂的交易使资金来源难以追溯。正如此次攻击中,黑客不断通过1inch.exchange、ParaSwap、Tokenlon等DEX平台将盗取的币兑换成ETH及其他代币,完成代币的转移。
Scott+Scott律师事务所宣布对Robinhood展开调查:10月28日消息,国际股东和消费者权益诉讼公司Scott+Scott 律师事务所(“Scott+Scott”)正在调查 Robinhood Markets Inc.(纳斯达克股票代码:HOOD)及其某些高级职员和董事违反了联邦证券法。(Globe News Wire)[2021/10/28 21:04:10]
过程并非难以察觉,如果交易所和OTC交易商能够做好客户信息搜集、尽职调查和信息保存工作,并能将动态及时上报,那么非法资金的流动是可以被及时发现并引起注意的。并在最大程度上切断资金外流通道,追回赃款,挽回加密货币持有人的损失。监管机构或调查金融犯罪等机构也得以通过搜集到的各方面信息进行梳理、比对,逐步还原资金流向。
实践中,黑客的步骤会更加繁琐,将资金进行拆分并转入不同的地址,大额的资金会沿着前进方向进一步小额拆分,进而构建出更为复杂、繁密的资金网络,加大追踪、侦测的难度。如果交易所和OTC交易商在客户信息搜集、尽职调查、信息保存及上报方面的工作不到位,非法资金将难以被及时发现、上报并实现有效的追缴,损失将无法挽回。
历史上的今天丨美国一律师事务所针对加密行业提出11项集体诉讼:2020年4月5日,罗氏弗里德曼律师事务所在纽约南区提出了11项新的集体诉讼。它们分别是币安,Civic,BProtocol,Status,Block.one,KayDex,Quantstamp,BiBox,TRON Foundation,KuCoin,HDR Global Trading及其相关负责人,包括Brendan Blumer,Dan Larimer,Vinny Lingham,币安创始人赵长鹏(CZ)。 很难总结出11项具体的投诉,但关键问题在于这些代币作为证券的性质,以及可供美国人购买。[2021/4/5 19:47:31]
北京时间4月19日晚10点左右,Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)归还126,014枚PAX,并附言「Betterfuture」。
看起来着实有些讽刺,但这次攻击也提醒加密货币交易平台应当更注重对交易参与者信息的收集工作,保证交易信息的透明度,从而构建真正的「Betterfuture」。
Lendf.Me黑客攻击事件引发的刑事思考
黑客入侵,加密货币被盗事件已不是第一次发生,黑客对加密货币的强烈渴望随着加密货币的价值攀升愈发强烈,他们通过利用合约漏洞、入侵”技术支持“网站、攻击加密钱包等多种方法非法盗窃加密货币,给加密货币持有者带来了不小的损失。
有少数观点认为,黑客的行为利用了合约漏洞,某种意义上是被合约所允许的。但是代码漏洞不等于同意,无论链上链下,盗窃行为的本质并没有发生改变,黑客理应为他们的行为承担刑事责任。
2019年3月,日本一名18岁的黑客因盗窃加密货币被日本宇都宫的检察官起诉。他通过入侵智能手机上的数字钱包Monappy,盗窃了价值1500万日元(约合13.42万美元)的加密货币。
2019年4月,美国21岁的乔尔·奥尔蒂斯因利用SIM卡对受害者的智能手机进行黑客入侵,共窃取了40余名用户约750万美元的加密货币,面临身份盗用和计算机犯罪等41项罪名的指控,最终被判入狱10年,这也是美国有史以来第一个因“SIM卡交换”而定罪的案子。其他参与人员也分别因窃取不同数量的加密货币而被批捕。
2019年5月,20岁的爱尔兰男子康纳·弗里曼因涉嫌在网上盗取价值超200万美元的比特币等加密货币,面临网络、教唆等多重指控,或将在美面临超100年的监禁。
2020年2月,前微软员工VolodymyrKvashuk因从微软盗窃1000万美元的数字货币,被判犯有18项联邦重罪,将面临20年的监禁。
可以看到,包括盗窃行为在内,黑客针对加密货币所进行的的犯罪行为都会受到刑事法律的规制,从判决结果来看,黑客也将面临较为严厉的刑罚。
本案中,黑客的攻击行为造成了Lendf.Me约2500万美元的资产损失,刑事制裁在所难免。
犯罪行为本身的应罚性毋庸置疑,但加密货币定性的不同可能指向不同的罪名,这点在我国表现的尤为突出。在加密货币的性质归属上,我国并没有形成一致的观点,加密货币被盗面临着盗窃罪和非法获取计算机信息系统数据罪两个不同的保护路径,前者肯定了加密货币的财产属性,后者则将加密货币视为信息。需要注意的是,两者在量刑上存在较大差距,盗窃罪量刑要远远高于非法获取计算机信息系统数据罪,这给司法实务留下了很大的不确定性。
不止我国,包括美国在内的一些国家在加密货币的定性上也未能达成一致:
美国商品期货交易委员会将加密货币视为商品;
美国证券交易委员会将符合HOWY测试的加密货币视为证券;
美国金融犯罪执法网络将加密货币视为在一种特定情况下扮演货币功能的交换媒介,可以适用货币规则;
美国国税局将加密货币视为一种财产,具有合法的财产属性,需缴纳税收。
赋予加密货币明确的定性是各国都在努力的方向,对于更好的引导、管理加密货币活动具有重要的意义。
从执行角度看,区块链的不可篡改性的确为追踪资金去向提供了可能,但去中心化的特征也为黑客隐匿身份创造了空间,他们往往通过复杂的手段将加密货币分散,再进行、提币、洗币等操作,加大警察溯源的难度。
当然这并不意味着黑客的行为将毫无漏洞,黑客盗窃的目的最终是为了变现,而变现的途径无非是场外交易或交易所交易。黑客一旦向一个已知身份的用户进行转账,将很有可能暴露自己的身份,从而露出马脚。实务中,由于加密货币的走向往往跨越国界,追踪过程不是靠一己之力能够完成的,还需要借助国内外等多方力量的协助,执行起来要复杂得多。
然而,即便能够准确定位黑客的身份和位置所在,将丢失的加密货币全部追回的可能性也并不大。加密货币安全公司CipherTraceCEO大卫·埃文斯(DavidJevans)曾表示,当交易平台或交易所遭到黑客攻击,由于加密货币可以轻易地跨越不同的国界,只有20%的被盗加密货币能够找回。
接连两次的攻击都在警示我们,保障加密货币的安全不能仅依靠区块链技术本身的优势,可以看到黑客已经掌握了DeFi系统性风控漏洞的要害,无论是加密平台还是加密货币持有者,都应当提高风险防范意识。
对加密平台而言,尽可能的弥补技术短板,提升交易信息的透明度,并完善相应的反预警机制,在第一时间对加密货币风险作出反应。
对加密货币持有者而言,无论是反机制还是刑事法律制裁,都只能起到事后救济的作用,而目前制度框架还处在搭建和完善中,未必能提供强有力的保护。因此,提高警惕心理,妥善保管交易密钥,强化账户认证端口才能尽到最大程度的事前防范。
作者|哈希派分析团队Gate.io行情:FIL 24小时涨幅达48.94%:据Gate.io芝麻开门行情显示,截至今日12:20,FIL 24H最高涨幅48.94%,当前涨幅38.34%.
1900/1/1 0:00:00文丨互链脉搏·三子,未经授权,不得转载!近日,网传钱包截图显示,中国央行数字人民币目前已经在中国农业银行开启内部测试.
1900/1/1 0:00:00作者|哈希派分析团队BTC多空持仓比7.6:1 大盘全面走强:大盘全面走强,减半概念强势,BSV3L、BCH3L 24小时涨幅分别为57.75%、40.75%.
1900/1/1 0:00:00本文来源:人人都是产品经理作者:北漠,微信:beimo0627本文以某互金集团为具体实例进行展开,看区块链如何助推集权化企业集团管理模式.
1900/1/1 0:00:00据Decrypt4月20日报道,PrysmaticLabs最新发布的测试网络将有助于推动下一代以太坊规范的推出.
1900/1/1 0:00:00前言:加密稳定币旨在实现锚定1美元,给人们更直观的稳定想象。不过,从黑色星期四事件看,DAI价格飙升后,要降下来很难。本文提出了一种反射债券的模式,它的目的是减少其抵押品的波动性.
1900/1/1 0:00:00