動區上週報導,去中心化金融(DeFi)交易平台 dForce 的借貸協議 Lendf.Me,在本月 19 日遭駭 2,500 萬美元(約新台幣 7.5 億元)後,迅速在各方團隊配合下迫使駭客歸還全數贓款;其後,dForce 創辦人楊民道也發表了公開信,除了向用戶致上最高的歉意外,也預告即將釋出資產返還計畫。
昨(26)日,dForce 團隊正式公告了 Lendf.Me 駭客事件的資產返還計畫,針對存款用戶及貸款用戶制定了兩種不同的配套方案;目前,Lendf.Me 已出售了駭客在事發中置換的部分資產,盡量恢復平台在攻擊前的資產組合。
案件回顧
案件復盤,dForce 的借貸協議 Lendf.Me 在 19 日早晨 9 點左右遭到駭客攻擊,僅僅兩個半小時左右,駭客藉著合約漏洞盜走高達 2,500 萬美元的加密資產;出人意料的是,駭客竟於 20 日開始陸續歸還了被盜物資,並最終歸還了其盜出的全數資產。
dForce 團隊說明,駭客在攻擊發生不久後,便在 1inch.exchange、ParaSwap、Tokenlon 等交易所發出了 3 筆價值約 25 萬美元的 PAX 代幣交易,目的是將贓款進行洗錢的動作;然而,駭客卻也因此暴露了自身的重要數據,並遭到 dFroce 組織的安全團隊追查。
幾經勸導下,駭客也不堪精神壓力負荷,在主動聯繫 dForce 安全小組並歸還所有被盜資產後即黯然退出。
資產返還計畫
可惜的是,雖然 Lendf.Me 平台的被盜資產在團隊配合下盡數追回,但是合約狀態已經在持續性的攻擊下遭到污染,dForce 團隊也證實該協議無法再次重啟;另一方面,由於駭客在銷贓期間置換掉了部分資產,dForce 團隊也只能再次出售,盡可能地恢復原先的資產狀態。
目前,被盜資產已轉入冷錢包儲存,Lendf.Me 也依據內部預言幾的價格計算,提供了合約關閉前的平台資產狀態截圖,時間是在 19 日下午 12 點 57 分、區塊高度 9900772;同時,他們將透過其新開發的資產返還系統,協助返還用戶的代幣。
dForce 團隊以借款與否作為分類依據,提供了針對「只存款、無借款」用戶及「有借款」用戶的兩種返還方案。
一、只存款、無借款
針對只有存款、沒有借款的 Lendf.Me 平台用戶,公告要求其使用先前在 Lendf.Me 上操作的原地址登錄官網,或使用其他支持 Lendf.Me 的錢包登錄資產返還系統;在點擊了相關條款並進行確認後,將會被視作向 Lendf.Me 平台發出了退款申請。
不過,公告指出,由於受影響的用戶數量太多,因此站方將依據用戶的登記時間做先後順序上的處理;此外,針對那些並未看到公告、或受其他因素導致沒有點擊確認條款的用戶,Lendf.Me 將統一在一週後按照用戶的原資產配置進行退款作業。
二、有借款
相較於存款用戶,曾在 Lendf.Me 平台上進行借款動作的用戶,其退款程序就相對複雜了一點。
首先,用戶需要從 Lendf.Me 官網登入資產返還系統,並連接 MetaMask 錢包或是其他的移動端錢包,來確認自身在平台中的存款、借款金額是否正確;接著,用戶需要在還款截止前歸還未償還資產,才能進入第三步的抵押資產退還,否則將進入所謂的「全局資產處置流程」。
公告寫道,平台方將會進行人工及電腦的雙重對帳確認,在認證無誤後將於 24 小時內退還抵押資產。
值得注意的是,倘若用戶不得不進入全局資產處置流程,Lendf.Me 會在該則公告發布後的 7 天後,或是當抵押率低於 125% 的時機點,將用戶的剩餘資產按時價兌換成 USDT、USDC、PAX 等穩定幣,並在扣除借款額後照帳戶的倉位淨值核算,再退還等值的穩定幣到用戶原地址。