下面,我们将解释实际影响,了解我们计划如何提供帮助并为我们的 imBTC 比特币代币定义未来。
两次重入攻击
最近,Uniswap 和 Lendf.Me 经历了两次攻击,其中(最初)大量用户资金被盗。我们在此处的较早博客文章中总结了这些事件。
4 月 18 日,攻击者利用 Uniswap 和 ERC777 的漏洞进行了重入攻击。由于平台缺乏对重入攻击的保护,黑客能够利用tokensToSend方法到imBTC(ERC777)来耗尽ETH-imBTC的流动资金池。有关技术细节,请参阅 Open Zeppelin在此处的说明。
作为一项安全措施,我们暂停了 imBTC,后来在合作伙伴同意后取消了 imBTC。再次,请找我们先前的职位的详细时间表这里和暂停交易在这里。
4 月 19 日,Lendf.me 的一个类似漏洞被用于执行重入攻击并窃取约 2500 万美元的用户资产。
两种攻击的技术根源在于智能合约与 ERC777 代币协同工作的方式,导致易受重入攻击。
在第二起事件导致 Lendf.Me 价值约 2500 万美元的资产被盗后,我们的团队加入了 Lendf.Me 抓捕黑客的努力,最终导致几乎全部资产归还。
在 Uniswap 被黑之后,我们已经与已知的流动性提供者解决了。(请注意,Lendf.Me 将如何准确补偿用户尚未公布。)
以下是我们将改进的地方
像往常一样,人们在我们、ERC777、Uniswap、Lendf.Me、安全公司,甚至区块浏览器和其他人身上寻找“负责人”。
但是,我们希望退后一步,看看我们能做些什么来防止导致事件的问题。
这是我们计划做的:
imBTC 将被集成到更多平台中。例如,最近我们庆祝了PieDAO 推出比特币代币池,顺便说一句,它可以防止重入攻击。
然而,在未来,我们将增加在任何第三方集成我们产品上所花费的时间和资源,尤其是 imBTC。
我们还将加强与第三方就 ERC777 影响的沟通。如果您对集成 imBTC 感兴趣,请随时通过电子邮件、电报或 Twitter 与我们联系。
在内部,我们正在加强与 imBTC 合作的尽职调查,并花更多时间对所有相关人员进行教育。
只要有可能,我们就会尝试接收对集成的安全审查,并敦促我们的合作伙伴自己检查安全隐患。
ERC777 面向未来的设计
imBTC 是一种 ERC777 代币,始终与比特币 1:1 挂钩。imBTC 100% 的价值由储备比特币支持。这将保持不变。
imBTC 使用 ERC777 有什么问题吗?
不,ERC777 代币标准本身没有任何问题,它按 imBTC 的预期工作。imBTC 本身已经过安全审计。
然而,有些人认为 ERC777 的不利之处在于它增加了 ERC20 有限功能的复杂性:最重要的是,合约在接收 ERC20 代币时无法执行代码。
ERC777 提供的功能之一(与 ERC20 相比)是“挂钩”。它允许您将代币发送到合约并在单笔交易中通知它(请参阅 参考资料)。
因此,imBTC 用户不需要设置可能令人烦恼但也存在安全风险的代币限额(请参阅参考资料)。其次,通过附加功能,imBTC 可以适应未来的其他用例。
现在 ERC777 经过实战考验,我们希望它能够变得更有前途。
imBTC 的未来角色
当我们与 imBTC 一起启航时,我们的目标是将比特币连接到以太坊生态系统,并为用户和开发人员构建一个无缝的可访问系统来铸造、交换、借出和赎回比特币。
2019 年 10 月 25 日开始,imBTC 已经实现
总铸造 imBTC:1675.89
代币持有者总数:1660
Tokenlon 交易所产生的利息:3.28 imBTC
在第一阶段,我们在比特币和 imBTC 之间建立了一个可信赖的网关。接下来,我们将推动连接所有当前和即将到来的代币化比特币。
imBTC 将扮演 Token-as-Gateway 的角色,为用户和开发者提供顺畅的价值交换。
为了降低当前的托管风险,我们计划将比特币转移到由 MPC 以及用于 imBTC 合约管理密钥的 DAO 提供支持的财团托管。
虽然这可能需要一段时间才能完成,但 imBTC 完全由承诺 100% 准备金和责任的比特币支持。我们希望您保持警惕并继续使用 imBTC。
让开放金融变得触手可及
