BTC:一文了解 Uniswap 和 Lendf.Me 合约重入攻击的最新进展_mBTC

最近Uniswap和Lendf.Me接连发生两起「重入攻击」事件，均由于DeFi合约缺少重入攻击保护，导致攻击者利用ERC777中的多次迭代调用tokensToSend方法函数来实现重入攻击。

为配合调研重入攻击事件，目前ERC777代币imBTC合约已被暂停，等待安全事件评估完毕后择机重启。此外imBTC1:1托管的BTC没有影响，持有imBTC的用户无需担心后续赎回、交易、转账等功能。

新火科技旗下MPC自托管平台Sinohope推出Start-up扶持计划，BeWater首批加入合作:据官方消息，Web3开发者社区BeWater近日宣布，该平台组织的Web3创新大赛获奖项目将入选新火科技旗下MPC自托管平台Sinohope新推出的Start-up扶持计划。获奖项目将享有Sinohope提供的每月价值数千美金的企业级服务定制，Sinohope还将为获奖项目开放使用企业级MPC钱包、自动化 AML&KYT 流程、全链协议和币种访问、定制化功能开发等多项服务。

作为新火科技新近推出的重点产品，Sinohope致力于为每个机构打造专属的数字资产自托管平台。Sinohope通过采用MPC-CMP技术支持用户分布式管理私钥分片与协同签名解决私钥单点风险，有效增加透明性和易用性。近期，为进一步助力早期项目发展，Sinohope推出Start-up扶持计划，面向万千开发者和早期项目提供专属服务，入选扶持计划的项目将享受新火科技提供的一系列扶持政策。[2023/6/14 21:35:53]

事件时间线

USDC Treasury将133,511,563枚USDC转入Coinbase:金色财经报道，据Whale Alert数据显示，USDC Treasury铸造133,511,563枚USDC（价值约133,551,616美元）。随后将铸造的USDC全部转入了Coinbase。[2022/12/27 22:09:16]

北京时间4月18日08:58，一名攻击者利用Uniswap和ERC777的兼容性问题，通过多次迭代调用名为「tokensToSend」的方法函数来对该平台上的ETH/imBTC交易对进行重入攻击。

Besu客户端已100%完成以太坊合并升级准备:9月15日消息，据Ether Nodes披露的最新数据显示，当前Besu客户端已100%完成以太坊合并升级准备，也是四个执行层客户端中第一个全部完成以太坊合并升级准备的客户端，当前其他三个执行层客户端中：Go-Ethereum（Geth）已做好合并准备的客户端占比为88%、Erigon为93%、Nether mind为92%。[2022/9/15 6:58:12]

4月18日12:12，Tokenlon观察到异常后，立刻定义为P0级安全问题，并建立紧急处理小组。

4月18日12:49，Tokenlon评估安全问题后，暂停了imBTC的转账功能并通知imBTC合作伙伴自查安全风险。

4月18日17:00，Tokenlon与imBTC合作平台确认安全风险评估没问题后，重启了imBTC的转账功能。

4月19日09:28，Tokenlon收到Lendf.me反馈，遭遇类似Uniswap事件的重入攻击，出现大量异常借贷行为。

4月19日10:12，为配合调研重入攻击事件，Tokenlon暂停imBTC的转账功能。

截至发稿，Lendf.Me已经停止服务，正在调查处理中。

imBTC现状

目前，其他渠道持有imBTC用户资产安全不受影响，Tokenlon将会在确认合作平台无安全问题后，重启imBTC转账和交易。

imBTC是与BTC1:1锚定的ERC-777代币，由Tokenlon负责发行和监管，imBTC采用ERC-777代币标准规范，本身并没有安全问题。但目前出现ERC-777代币与Uniswap/Lendf.Me合约组合，存在重入攻击漏洞。

我们在此呼吁，DeFi开发者应立即检查相关问题，并与社区共同建立更加完善的风控机制和保险机制。

最后，请关注Tokenlon相关渠道公告，我们会持续更新处理进展。

标签：BTCMBTIMBTCmBTCIBBTC币NMBTC币IMBTC

屎币热门资讯