诈骗警报：这是从DeFi DApp Uniswap窃取30万美元的ETH的方式

DeFi的Uniswap流动资金池中的一个漏洞导致以太坊（ETH）损失超过300,000美元。

ETH的宝贵资产损失300,000美元，这是一个很大的损失-并且面对精通技巧的黑客，他们了解协议的来龙去脉，需要在漏水的DeFi屋顶上做更多的工作。

什么是Uniswap？

Uniswap是建立在以太坊区块链上的去中心化协议，可通过流动性池促进以太坊和代币的交换。

该协议代替了已有人操纵的订单簿，而是利用了流动性池，参与者可以从中赚钱以提供任何数量的流动性资金。

任何人都可以通过提供等量的ETH和ERC-20代币并提供理想的汇率来创建流动资金池，即市场。

总价值已锁定在美元中

imBTC池被利用

但是，今天的漏洞利用有所不同。黑客针对的是imBTC，这是imtoken与去中心化交易所Tokelon合作创建的比特币包装版本，可在UniSwap上获得。

DEX承认被攻击者，并通知社区，在黑客对UniSwap的ERC-777标准衍生的令牌使用攻击媒介后，imBTC流动资金池中的资金已用光。

今天，Uniswap上的imBTC池已遭到攻击并耗尽。黑客利用Uniswap上ERC777令牌的攻击媒介。

托管中的BTC不会受到影响。

我们暂时暂停了imBTC转移，正在评估情况并会在恢复转移时通知

-Tokenlon DEX（@tokenlon）2020年4月18日

好消息是，羁押中的BTC并未受到影响，但随着DEX评估情况，imBTC的转移已暂时暂停。

什么是ERC 77标准？

与ERC 20一样，ERC 777是标准配置。

两者共存于以太坊区块链中，但令牌具有满足不同需求的不同功能。该标准由Jordi Baylina，Jacques Dafflon和Thomas Shababi提出。

它试图改善ERC-20标准的一些低效率，该标准由于其简单性而广受欢迎，但由于其功率不足而表现不佳。

它仍然与ERC 20令牌向后兼容，并添加了“挂钩”，这是令牌的应付款功能。

ERC-20令牌中没有支付功能，这意味着，例如，如果要用ETH交换DAI，则必须发起一笔交易以批准无限量的DAI，而另一笔交易必须将其交换为ETH。

这是因为在ERC-20标准中，代码仅在收到ETH而不是令牌时才执行。

攻击者利用Hooks偷走了300,000美元的ETH

由于ERC 777标准中启用了“挂钩”，因此无需重复交易即可简化不同dapp之间的资金自由流动。

但这会使dapp遭受重新进入攻击。重新进入攻击并不新鲜，因为它是DAO攻击者使用的一种利用方式。这一次，使用ERC 777令牌可以进行相同的利用。

（10/12）ERC777中的这些钩子提出了重入攻击的问题。这不是一个新的攻击媒介，可重入引起了著名的DAO黑客。

新功能是使用令牌可以进行这种攻击。开发人员认为ETH转移很容易受到攻击，但令牌转移是安全的。 pic.twitter.com/Vt73Irj1f3

-David Mihal????（@dmihal）2020年4月18日

攻击者用它窃取了价值30万美元的ETH，因为在此攻击之前，Uniswap V1不支持，但在上次升级到V2之后，它引入了ERC 777支持。攻击无需花费时间就可以找出漏洞并加以利用。

Uniswap V1从不支持ERC-777，已经公开讨论过几次https://t.co/EbbKygvcqZ

V2与777兼容，是的，这很不幸：/

-Hayden Adams????（@haydenzadams）2020年4月18日

—-

原文链接：https://coingape.com/this-is-how-300k-in-eth-was-stolen-from-uniswap-a-defi-dapp/

原文作者：Dalmas Ngetich

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。