关于Uniswap和Lendf.Me合约重入攻击最新进展

最近 Uniswap 和 Lendf.Me 接连发生两起「重入攻击」事件，均由于 DeFi 合约缺少重入攻击保护，导致攻击者利用 ERC777 中的多次迭代调用 tokensToSend 方法函数来实现重入攻击。

为配合调研重入攻击事件，目前 ERC 777 代币 imBTC 合约已被暂停，等待安全事件评估完毕后择机重启。此外 imBTC 1:1 托管的 BTC 没有影响，持有 imBTC 的用户无需担心后续赎回、交易、转账等功能。

事件时间线

北京时间 4月18日 08:58，一名攻击者利用 Uniswap 和 ERC 777 的兼容性问题，通过多次迭代调用名为「tokensToSend」的方法函数来对该平台上的 ETH/imBTC 交易对进行重入攻击。

4月18日 12:12，Tokenlon 观察到异常后，立刻定义为 P0 级安全问题，并建立紧急处理小组。

4月18日 12:49，Tokenlon 评估安全问题后， 暂停了 imBTC 的转账功能并通知 imBTC 合作伙伴自查安全风险。

4月18日 17:00，Tokenlon 得到 Lendf.Me 及其他 imBTC 合作平台确认安全风险评估没问题后，重启了 imBTC 的转账功能。

4月19日 09:28，Tokenlon 收到 Lendf.me 反馈 ，遭遇类似 Uniswap 事件的重入攻击，出现大量异常借贷行为。

4月19日 10:12，为配合调研重入攻击事件，Tokenlon 暂停 ?imBTC 的转账功能。

截至发稿， Lendf.Me 已经停止服务，正在调查处理中。

imBTC ?现状

目前，其他渠道持有 imBTC 用户资产安全不受影响，Tokenlon 将会在确认合作平台无安全问题后，重启 imBTC 转账和交易。

imBTC 是与 BTC 1:1 锚定的 ERC-777 代币（兼容 ERC-20 ），由 Tokenlon 负责发行和监管，imBTC 采用 ERC-777 代币标准规范，本身并没有安全问题。但目前出现 ERC-777 代币与 Uniswap/Lendf.Me 合约组合，存在重入攻击漏洞。

我们在此呼吁， DeFi 开发者应立即检查相关问题，并与社区共同建立更加完善的风控机制和保险机制。

最后，请关注 Tokenlon 相关渠道公告，我们会持续更新处理进展。

—-

编译者/作者：imToken

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。