一文了解 Uniswap 和 Lendf.Me 合约重入攻击的最新进展
最近 Uniswap 和 Lendf.Me 接连发生两起「重入攻击」事件,均由于 DeFi 合约缺少重入攻击保护,导致攻击者利用 ERC777 中的多次迭代调用 tokensToSend 方法函数来实现重入攻击。
为配合调研重入攻击事件,目前 ERC 777 代币 imBTC 合约已被暂停,等待安全事件评估完毕后择机重启。此外 imBTC 1:1 托管的 BTC 没有影响,持有 imBTC 的用户无需担心后续赎回、交易、转账等功能。
事件时间线
北京时间 4月18日 08:58,一名攻击者利用 Uniswap 和 ERC 777 的兼容性问题,通过多次迭代调用名为「tokensToSend」的方法函数来对该平台上的 ETH/imBTC 交易对进行重入攻击。
4月18日 12:12,Tokenlon 观察到异常后,立刻定义为 P0 级安全问题,并建立紧急处理小组。
4月18日 12:49,Tokenlon 评估安全问题后, 暂停了 imBTC 的转账功能并通知 imBTC 合作伙伴自查安全风险。
4月18日 17:00,Tokenlon 与 imBTC 合作平台确认安全风险评估没问题后, 重启了 imBTC 的转账功能。
4月19日 09:28,Tokenlon 收到 Lendf.me 反馈 ,遭遇类似 Uniswap 事件的重入攻击,出现大量异常借贷行为。
4月19日 10:12,为配合调研重入攻击事件,Tokenlon 暂停 imBTC 的转账功能。
截至发稿, Lendf.Me 已经停止服务,正在调查处理中。
imBTC 现状
目前,其他渠道持有 imBTC 用户资产安全不受影响,Tokenlon 将会在确认合作平台无安全问题后,重启 imBTC 转账和交易。
imBTC 是与 BTC 1:1 锚定的 ERC-777 代币(兼容 ERC-20 ),由 Tokenlon 负责发行和监管,imBTC 采用 ERC-777 代币标准规范,本身并没有安全问题。但目前出现 ERC-777 代币与 Uniswap/Lendf.Me 合约组合,存在重入攻击漏洞。
我们在此呼吁, DeFi 开发者应立即检查相关问题,并与社区共同建立更加完善的风控机制和保险机制。
最后,请关注 Tokenlon 相关渠道公告,我们会持续更新处理进展。
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
Justin Sun suspected to have purchased $160m in Ethereum
Justin Sun suspected to have purchased $160m in Ethereum