4月18日上午，Uniswap平臺遭受重入攻擊后，隔天去中心化借貸平臺Lendf.Me同樣遭受攻擊，且兩次攻擊手法極為類似，推斷為同一團體或個人所為。

最后，Uniswap預計損失30萬~110萬美元，Lendf.me借貸平臺預計損失約2500萬美元的資金。

但是!令人震驚的事情發(fā)生了。

黑客在2天內(nèi)把錢還給了Lendf.Me(此處心疼Uniswap)。4月20日先是退還了279萬美金，再是4月21日退還剩余的2200萬美金。

攻擊一天，收拾爛攤子(還錢)兩天，3天白忙活。

此次攻擊，黑客利用ERC-777標準與其他平臺的兼容性問題，在進行ETH-imBTC交易時連續(xù)利用智能合約提取資金，執(zhí)行重入攻擊，反復覆蓋自己的資金余額，從而實現(xiàn)可提現(xiàn)資金的不斷翻倍，循環(huán)套利。

不得不說，DeFi安全問題一直被詬病。由于其開放性：一是對用戶的開放性，二是合約間的開放性，所以 DeFi 只要有一個模塊出了問題，就可能拖垮整個生態(tài)，因此極易成為黑客的攻擊目標。

Compound 創(chuàng)始人 Leshner 在 Lendf.Me 被盜一事發(fā)生后，發(fā)推特表示：希望開發(fā)者和用戶能從 lendf.Me 事件中吸取教訓。

在成功盜取2500萬美金后，由于這類非法手段獲得的加密貨幣(俗稱“黑錢”)，很難直接地“安全”使用。為了躲過追蹤，黑客會借助交易所和OTC交易商的力量，通過復雜的交易手段來完成“洗錢”。然而，在黑客使用1inch.exchange.com來交換一定比例的資金的過程中，卻意外留下了重要的元數(shù)據(jù)。正是這些元數(shù)據(jù)泄露了黑客的重要信息，比如IP地址、他們所使用的Mac電腦的系統(tǒng)語言設置為英語等。

此外，Lendf.me平臺使用的內(nèi)容交付網(wǎng)絡CDN也進一步幫助了調(diào)查人員，這也給了黑客更大的壓力。

最后，黑客不得不退還這筆錢(2500萬美金在轉換交易過程中價值略微下降，降至2430美金)。

加密貨幣交易的高價值使其一直以來都是網(wǎng)絡攻擊的重點目標，但在黑客攻擊事件中，類似Lendf.me事件的結果卻很罕見，只能說是意外的好結局。但這次攻擊事件也給了我們一些思考：

• 管理員可以采取更強有力的安全措施，比如嘗試將盡可能多的錢/貨幣放入與互聯(lián)網(wǎng)斷開的冷錢包中。
• 交易所和OTC交易商可以做好客戶信息的合理搜集和保存、地址監(jiān)控和資金流動監(jiān)測，從而及時發(fā)現(xiàn)非法資金流動并上報，最大程度地挽回損失。
• 監(jiān)管機構可以串聯(lián)攻擊者盜取加密貨幣后的行為邏輯，多方面多渠道搜集信息，還原資金流向。