本文为读者来稿,作者 imBTC 团队。 imBTC 是去中心化钱包 imToken 团队基于托管资产在以太坊链上发行的比特币等价代币。
本文回顾了近期 DeFi 平台的黑客攻击,认为 ERC777 标准本身没有安全问题,但承诺将加强安全审查,并改进托管方案。币新经作者授权发布,文责自负。
_
_
此前,攻击 dForce 的黑客利用其智能合约的漏洞,大量虚增 lendf.me 平台中的 imBTC 资产,抵押套取了约 2400 万美金。据 dForce 官方,目前用户资产已找回,并已完成绝大部分退币工作。
币新认为,imBTC 是目前最有可能桥接比特币生态资产,和以太坊生态分布式金融服务的网关。虽然遭此波折,但未来可期,值得跟进关注。
以下正文——
图片来源 imBTC 官网
对于最近所发生的事,我们需要坦诚的是,它对 imBTC 带来了一些影响,但是我们可以确信,使用 ERC777 并不是一个错误的决定,ERC777 标准本身也没有什么安全问题。不过这依然提醒我们,在未来涉及第三方平台时,我们应该增加更多安全措施。
以下,将更详细地阐述 imBTC 的近况,以及对未来的发展计划。
两次重入攻击
众所周知,Uniswap 和 Lendf.Me 都遭受了重入攻击,并被窃取了大量的用户资金。在我们早期的文章中均对此事有过详细总结。
4 月 18 日,攻击者利用 Uniswap 和 ERC777 之间的不兼容性发起了重入攻击。由于缺乏针对该问题的防护,导致黑客利用 ERC777 的 tokensToSend 的方法来耗尽 ETH-imBTC 的流动资金池。
为保护用户资产安全,imBTC 暂停了交易。直到各第三方平台自查完成并与 imBTC 进行确认后,我们才重新恢复了交易。相关的具体时间线,可以在早前的官方公告中查到。
4 月 19 日,Lendf.Me 因与 Uniswap 相同的兼容问题,被黑客进行了重入攻击并窃取约 2500 万美元的用户资产。
这两次攻击的根本原因在于 DeFi 与 ERC777 的兼容性问题,导致易受重入攻击的影响。
在第二次攻击事件之后,Lendf.Me 被黑客盗取了约 2500 万美元的资产,imBTC 当日即组织安全团队帮助 Lendf.Me 对黑客进行追捕,并通过多方努力,最终促使黑客归还了所有资产。
在 Uniswap 被黑客入侵之后,我们已经与已知的流动性提供商达成了解决方案。关于 Lendf.Me 的对用户的补偿措施以 Lendf.Me 官方发布为准。
imBTC 的改进
对于任何一起攻击事件,通常大家都习惯于找一个责任方。这一次自然也不例外,在很多的报道中,大家都在问责,比如 "ERC777"、"Uniswap"、"Lendf.Me" 甚至安全审计公司等。
但是,我们其实可以再深究一点,看看采取什么措施,才能防止未来再发生类似的事故。
首先我们欢迎更多平台继续与 imBTC 合作。热门 DeFi 项目 PieDAO 就在最近推出了可以防止重入攻击的 BTC 流动池。如果你对此有兴趣,请随时通过电子邮件与我们联系。
其次,虽然第三方平台会增加更多抵御攻击的措施,但我们还是会在所有产品(包括 imBTC)上线第三方平台时,投入更多资源和时间用于风险和漏洞审查。
而在内部,我们正在自查第三方与 imBTC 合作的相关责任,未来也将花费更多时间来培训每个相关人员。只要有可能,我们都将尝试接受与协议相关的安全性审查,并敦促我们的合作伙伴自己检查安全隐患。
ERC777 的前瞻性设计
imBTC 是一个 ERC777 标准代币,始终与 BTC 1:1 锚定。imBTC 价值将 100% 由所托管的 BTC 支持。
使用 ERC777 标准的 imBTC 有问题吗?
ERC777 标准本身没有任何问题,并且 imBTC 也接受过安全公司的安全审计。
但是,有些人认为 ERC777 的缺点在于,相较于 ERC20 标准增加了有限功能的复杂性。
但与 ERC20 相比,「hook」是 ERC777 提供的一项具有相当高使用价值的功能。它允许用户将代币发送到合约中,并在每次交易中获得通知。因此,imBTC 用户无需设置复杂的 Token 配置。其次,imBTC 具有的附加功能,可以满足很多未来需求。
既然 ERC777 已经过实际使用的测试,我们希望它的未来能够发展的更好。
imBTC 的未来
当我们发布 imBTC 这一产品时,我们的目标是将 BTC 连接到 ETH 生态系统,并为用户和开发人员构建无缝的可访问系统,以铸造,交换,借出和赎回 BTC。
自 2019 年 10 月 25 日以来,imBTC 完成——
imBTC 总铸造量 :1675.89
持有者总数 :1660
Tokenlon 兑换产生的利息 :3.28 imBTC
在第一阶段,我们在 BTC 和 imBTC 之间建立了一个值得信任的网关。接下来,我们将推动桥接所有当前和未来的 BTC 代币, 继续作为一个可信任网关的角色,为用户和开发人员提供一个平稳顺畅的价值交换产品。
其次,为了降低目前的托管风险,未来将计划把 BTC 转移到多方安全计算(MPC)技术托管,通过 DAO 管理 imBTC 智能合约 Admin Key,这一计划将在接下来的一段时间内逐步展开并实现。imBTC 依然承诺与 BTC 双向锚定,并以 100% BTC 托管资产作为质押储备,我们希望大家在谨慎考虑后,依然能够继续使用 imBTC。
Make Open Finance Accessible
The Tokenlon Team
关注加主编微信 交个朋友🤝
加入币新读者群 聊天吹水🍺
点在看、转发支持币新做下去💗
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
简介:负责报道关于比特币的一切
评论0条