黑客自白:“当我从Lendf.Me盗走2470万美元时，我在想什么？”

认真阅读三分钟再点赞+转发，可以使各位老铁的收益最大化。如果这篇文章点赞超过1000，李老韭会在周四发文时拿出来8000KEY发放随机红包。

区块链革命的一粒灰尘，落在小韭菜的头上，就是一泡屎。

————李老韭

大家好，我是李老韭，炒币7年，没熬到财务自由，反倒是见识了币圈的各路牛鬼蛇神和人渣垃圾，认清了人性的贪婪和自私，最终成了一个割不死的老韭菜。

这几天币圈最大的新闻当属Lendf.Me被盗事件了，有很多币乎大v引用阿波罗13号遇险时的求救信号：“休斯敦，我们有麻烦了”，用这种近乎理想主义的方式给新生的DeFi打气，我当时是有点懵逼的，为什么要这么着急标明立场呢？理想主义没有错，可这个时候难道不是应该去找问题的原因么？

要知道这2470万美元的真金白银，可都是无数小韭菜仅存的积蓄，还有很多是借贷投资的，遇到这种级别的黑天鹅事件，加上今年这种经济环境，老韭可以料想这些受害者的生活将会崩溃成什么样子，这必定是成千上万个家庭的灾难：婚姻破裂、妻离子散、父子反目……但是灾难性的后果是不可逆转的，平台4月中旬才融资150万美元，必定无法赔偿2470万美元的巨额损失，那用户该向谁索赔呢？

平台无力赔偿，政府和交易平台也没有义务兜底，受害者似乎只有自认倒霉了，老韭很同情这些受害者，但这并不能让受害者挽回损失，我能做的就是搜集现有的信息，模拟黑客盗币的真实过程，力图还原事情的真相，给更多的小韭菜和DeFi平台敲响警钟，避免更大的损失。

以下是李老韭模拟的黑客独白：

“我没有名字，这几天过得很累，从事黑产已经有三年的时间了，白天我在某网站上班，晚上一身疲惫的回来还要通宵“开箱”、“洗宝”，干这行并不像外界想的那样风光，一次赚几百万的几率非常低，所以入行三年来，赚到的钱也就跟上班的收入持平，由于每次干活都是提心吊胆的状态，睡眠质量很差，虽然还不到三十岁，但看上去整个人完全没有活力，这大概就是长期在法律边缘游走的代价吧！”

“我是2017年牛市的时候开始关注区块链市场的，那时我刚开始熟悉网游的“养马”和“挂马”，付出了非常多的精力，但经常劳累一夜，也就洗出一千多块钱，看着很多同行靠黑产牟利纷纷洗白上岸，买豪车住别墅，我只能暗自努力，争取在三十岁前攒够两千万金盆洗手，彻底离开这个行业。”

“早几年在黑产利益链条里，负责中间扫号业务的小黑客，业务的技术含量很低，每个月都能挣十几万元，但随着公安部门打击网络犯罪力度加大，很多原来圈子里的“大人物”都被抓了进去，同行们纷纷迁往东南亚继续从事黑产，我也就是从那时开始将目光瞄向区块链领域的。”

“盗币和游戏洗宝的玩法完全不一样，但是盗币的法律风险却远远小于游戏洗宝，区块链资产当时在国内并不被法律认可，这是我在2017年切换赛道时的观点。在币圈9.4事件之后，很多交易所纷纷移师海外，我意识到机会来了！”

“我发现交易所的安全漏洞很容易攻破，但由于我是单枪匹马作战，没有团队分工协作，始终无法绕过多重签名这道关，最终放弃了从交易所啃肥肉的想法。2019年初我留意到DeFi成为区块链领域里最热门的话题，也汇聚了数十亿美元的资金，就在2月16日，DeFi项目bZx被某同行利用规则和协议设计上的缺陷，在DeFi项目间腾挪套利，15秒内获得36万美元的收益，正是这个事件让我开始转向研究智能合约的漏洞。”

图一：DEFI资金规模

“这个同行的手法堪称经典，从逻辑上看甚至算不上违规，他只是按照规则套利交易而已，就像狼群在追猎的时候并不会针对特定的猎物，只是选择最容易得手的那只；而交易规则的漏洞，就成了他得手的关键，所以我断定，只要有敏锐的洞察力和持久的耐心，在DEFI领域有的是吃肉的机会。”

“我的机会来自于合约代码审计时的疏漏，由于DEFI市场的大热，一时间有数十亿美元的资产部署在智能合约上，而这个领域由于是新兴领域，并不像传统的证券市场那样，有着严格的准入机制和审计标准，那些新入局的项目操盘团队都不具备相应的专业知识和职业操守，我就这么说吧，他们只是淘金者和生意人而已，在项目发布之前，很多核心协议的代码都是直接从同行那里CTRL+C到Ctrl+V拷贝过来的，根本没有第三方监管代码的安全性。”

“一个1万行代码的智能合约如果进行代码审核最起码需要50万元，这种看似必要的花费在很多项目方眼里成了某种可节约的开支，于是就找开源的审计工具做代码审计，这种所谓的代码审计其实都是做做样子，因为审计工具的检测能力和精度较差，对漏洞的具体挖掘和利用还是要通过白盒分析，即源代码分析，这样才能更有效的针对不同的代码情况指定出漏洞利用方案，但这种审计方式既耗时又增加成本，这部分投入看不到实际产出，很多项目方在还没有赚到钱的情况下，是不愿意付出的。”

“说句大言不惭的话，如果不是他们的节约，我是没有机会的。智能合约是可靠的，但是人性是靠不住的，在一个不受监管的蛮荒市场里，金钱的诱惑将人性的黑暗放大到极致，这让无数披着光鲜履历的项目方争相发布高息项目吸引用户投入资金，而我也从一个萌新级别的小黑客，变成了一条嗜血的独狼，而那些着急上马的DEFI项目就如一个个裸奔的猎物一样让我兴奋。”

“属于我的时刻终于来了，我清楚地记得那个时间，04月19日晚八点五十八分，我打开电脑，照例将笔记本的摄像头贴上，开始有针对性的部署合约，对Lendf.Me发起第一轮攻击。我先存入0.00021593枚imBTC，然后从Lendf.Me中成功提现0.00043188枚imBTC，这个时候我知道计划成功了。”

图二：交易记录

“由于Uniswap和ERC777的兼容性问题，我两次调用平台的supply()函数造成了重入攻击，覆盖我的资金余额并让可供提现的资金量不断累积，最终累积的数额等于平台的全部余额后开始提现。当我点击提现的时候，我知道这些资产正在飞向我的钱包。”

“这个时候我并没有心情停下来清点战利品，因为这些资产还要转到去中心化交易所里兑换成ETH和usdt，经过紧张而又刺激的一天后，我的钱包里多出了2470万美元,这给了我从未有过的满足感，这种满足感就像注射毒品一样让我着迷，我回到床上躺了一会儿，虽然一身疲惫，但却毫无困意，我知道我的目标实现了，是时候退休了。”

“我甚至感觉不到饥饿，但是精神高度集中让我的喉咙一片火热，我才意识到已经一夜没有合眼了，拉开窗帘天色蒙蒙亮，我打了个哈欠，才回到床上迷迷糊糊的睡了一觉，等我睡醒后，感觉整个人都好像脱水了似的，精神也是邹巴巴的，于是穿着拖鞋去冲了个澡，这下我清醒了许多，脖子上还搭着湿毛巾，又来到电脑前，打开钱包，那个数字还是那么的惹眼，我仔细看了看，发现账户余额竟然还在不断增加。”

“原来有很多人用小额转账的方式给我打币，并通过memo给我留言，我都耐心的看完了，我本是强盗，是劫匪，他们是受害者，却用祈求的语气和我商量，请求我做正确的事，归还他们的资金。我看到这些留言时，心情是复杂的，就像一个猎人费劲千辛万苦才捕获的小鹿，看到母鹿祈求的哀鸣时，难免会产生恻隐之心，可我毕竟是猎人，放了猎物自己就要挨饿，到时候这个无情的社会并不会给你一口免费的水喝，我凭本事盗来的钱，为什么要还回去呢？”

“我承认我是个坏人，但在这个丛林一样的社会里，我只是在扮演上天赋予我的角色，独狼天生就是要捕猎的，看着这些留言我刚开始还有点同情，但慢慢的我甚至有点想笑，你们为什么要来找我呢？难道不应该去找平台吗？如果不是他们的疏忽，我可是没有一丝机会盗走这些资产的。”

“不过我也并不是一个铁石心肠的人，生活中我是个人畜无害的人，看不得别人落难，前阵子闹肺炎疫情的时候，我也给武汉捐了款，虽然是做黑产赚的钱，可在国家有难的时候，就算是脏钱，也有发挥作用的时候。盗亦有道，我虽是个鸡鸣狗盗之徒，喜欢钱，但并不是不讲道理，所以当我看到有人会妻离子散，有人会自杀，有人会破产时，我还是忍不住做了一回好人，把12万枚PAX退了回去，这是我还没有来得及兑换的币，我想人还是需要一些希望的，就在转账附言中留下了一句话：better future。”

“饿了一天了，我退回12万PAX之后，出门去了趟超市，外面阴着天，我走在大街上，手里还拎着个塑料袋，谁能想到我这个普通的不能再普通的路人手里，竟然握着2470万美元呢？走进超市时我才猛然发现，原来我根本不用逛超市了，我现在甚至能把超市买下来，放眼望去，所有的商品我都可以闭着眼睛买了，根本不用考虑价格。”

“人是很奇怪的动物，当我不再考虑价格的时候，发现自己的需求并没有那么多，超市里最贵的东西我一点兴趣都没有，我仍旧像平时一样买了五包桶装面和两包火腿肠就回去了，甚至没有多花一分钱，这让我有点诧异，我难道天生就是有命挣没命花的主吗？回到家里我自嘲的吃着泡面，又回到了电脑前。”

“看着钱包里还有43万枚HUSD和320个HBTC，我发愁了，这些币要转到交易平台才能兑现，但是一旦转进去，就得输入身份信息才能转出来，想来想去，觉得太危险，就随手把320个HBTC给退了回去，又信手把HUSD也退了回去，只是数额是随便打的，转了之后才发现退了38万枚，剩下的就算是跟我有缘吧，留着当个纪念好了。”

“但我看到了一条留言，有人说他和他的妻子已经失业五个月了，这是他们仅有的积蓄，现在钱没了，他们也活不下去了，只希望自己能让他们度过这一关。这时我的泡面吃完了，里边只剩半桶汤水，我从明晃晃的汤水中看到了自己，突然感觉这一切竟然是那么荒唐和恶心，我费九牛二虎之力，让成千上万的人陷入痛苦和绝望，而我却在一个无人知晓的地方，默默的吃着方便面，看他们对我苦苦哀求，我他妈到底在干什么呢？”

“我看着钱包里不断增加的余额，这代表有成百上千的人正从各个角落里给我留言，我没有心再打开看了，只是默默的打开钱包，把鼠标对准余额，对着平台的钱包地址发起了转账操作，当我把所有余额都输入转账金额时，我把鼠标对准了转账按钮，这时我停住了，对着钱包陷入了沉思。”

黑客究竟会不会退回这笔资金呢？

李老韭是持悲观态度的，但仍然心存一丝善念的幻想，希望黑客能动恻隐之心，体会到他人之痛，否则这将是无数家庭的悲剧，一段时间之后，人们会将这件事淡忘，但那些受害者却将长久的陷入绝望和悲伤，这对他们来说，是一段无力醒来的噩梦。

这个黑天鹅事件中，最大的责任方应该是项目平台，他们既然无力为受害者赔偿，为什么不在项目发布之前，把代码审计工作做完善呢？可见在一个没有监管的市场里，仅仅靠项目方的风险自控是多么可笑而又无力的事！

DeFi的安全问题将严重制约其发展潜力，许多Defi生态目前都面临巨大的风险，这使我们不得不认真讨论Defi应用所面临的安全问题，当我们这些小韭菜要把真金白银转到DIFI平台的时候，我们真的要扪心自问一句：这是在给别人送钱吗？

李老韭目前持有BTM、KEY等币，建了一个囤币群，相约牛市减仓，欢迎入群守币。老韭讨厌喊单，拒绝广告，入群加微信（暗号：守币）：liliman007

—-

编译者/作者：数字货币主义

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。