BTC:一文了解 Uniswap 和 Lendf.Me 合约重入攻击的最新进展_mBTC

最近Uniswap和Lendf.Me接连发生两起「重入攻击」事件，均由于DeFi合约缺少重入攻击保护，导致攻击者利用ERC777中的多次迭代调用tokensToSend方法函数来实现重入攻击。

为配合调研重入攻击事件，目前ERC777代币imBTC合约已被暂停，等待安全事件评估完毕后择机重启。此外imBTC1:1托管的BTC没有影响，持有imBTC的用户无需担心后续赎回、交易、转账等功能。

Jack Dorsey回应a16z合伙人：老实做你的风投合伙人:1月4日消息，a16z 合伙人 Chris Dixon 在推特上发布谁拥有 Web2，并贴出包括 Jack Dorsey 的 Block（前 Square）在内的 4 家公司股东信息。数据显示，包括摩根士丹利、富达、高盛在内的 Block 公司前十大股权所有者总计持有超 30% 的股份。

对此，Jack Dorsey 回应 Chris Dixon：老老实实做你的 LP（有限合伙人）去吧。Chris Dixon 则表示：a16z 的 LP 主要是高校和基金会。虽然我们试图找到向公众开放 a16z 资金的途径，但当下的美国法律禁止这样做。[2022/1/4 8:24:04]

事件时间线

声音 | 赵东：比特币靠算法证明保管好私钥你的就是你的:Dfund创始人赵东今日微博回应网友所谈“私产问题”时表示，所以比特币最牛，靠算法数学知道是你的，不需要证明，也不用任何人承认，保管好私钥，你的就是你的。该网友认为，私产本来也是一个幻象，真正区别只在于别人是否承认，没人承认的私产就不是私产。一个国家是不是主权国家一个要素也是国际承认。[2018/10/5]

北京时间4月18日08:58，一名攻击者利用Uniswap和ERC777的兼容性问题，通过多次迭代调用名为「tokensToSend」的方法函数来对该平台上的ETH/imBTC交易对进行重入攻击。

币安CEO赵长鹏：千万别相信任何在Twitter要你转钱或者转钱给你的人:币安CEO赵长鹏在Twitter上表示，千万别相信任何在Twitter要你转钱或者转钱给你的人。[2018/2/18]

4月18日12:12，Tokenlon观察到异常后，立刻定义为P0级安全问题，并建立紧急处理小组。

4月18日12:49，Tokenlon评估安全问题后，暂停了imBTC的转账功能并通知imBTC合作伙伴自查安全风险。

4月18日17:00，Tokenlon与imBTC合作平台确认安全风险评估没问题后，重启了imBTC的转账功能。

4月19日09:28，Tokenlon收到Lendf.me反馈，遭遇类似Uniswap事件的重入攻击，出现大量异常借贷行为。

4月19日10:12，为配合调研重入攻击事件，Tokenlon暂停imBTC的转账功能。

截至发稿，Lendf.Me已经停止服务，正在调查处理中。

imBTC现状

目前，其他渠道持有imBTC用户资产安全不受影响，Tokenlon将会在确认合作平台无安全问题后，重启imBTC转账和交易。

imBTC是与BTC1:1锚定的ERC-777代币，由Tokenlon负责发行和监管，imBTC采用ERC-777代币标准规范，本身并没有安全问题。但目前出现ERC-777代币与Uniswap/Lendf.Me合约组合，存在重入攻击漏洞。

我们在此呼吁，DeFi开发者应立即检查相关问题，并与社区共同建立更加完善的风控机制和保险机制。

最后，请关注Tokenlon相关渠道公告，我们会持续更新处理进展。

标签：BTCmBTCIMBTCMBTwbtc币发行价NMBTC币

TRX热门资讯