imBTC 业务更新:Tokenlon 比特币跨链网关服务下线公告
最近 Uniswap 和 Lendf.Me 接连发生两起「重入攻击」事件,均由于 DeFi 合约缺少重入攻击保护,导致攻击者利用 ERC777 中的多次迭代调用 tokensToSend 方法函数来实现重入攻击。
为配合调研重入攻击事件,目前 ERC 777 代币 imBTC 合约已被暂停,等待安全事件评估完毕后择机重启。此外 imBTC 1:1 托管的 BTC 没有影响,持有 imBTC 的用户无需担心后续赎回、交易、转账等功能。
事件时间线
北京时间 4月18日 08:58,一名攻击者利用 Uniswap 和 ERC 777 的兼容性问题,通过多次迭代调用名为「tokensToSend」的方法函数来对该平台上的 ETH/imBTC 交易对进行重入攻击。
4月18日 12:12,Tokenlon 观察到异常后,立刻定义为 P0 级安全问题,并建立紧急处理小组。
4月18日 12:49,Tokenlon 评估安全问题后,暂停了 imBTC 的转账功能并通知 Lendf.Me 及 其他 imBTC 合作伙伴自查安全风险。
4月18日 17:00,Tokenlon 得到 Lendf.Me 及其他 imBTC 合作平台确认安全风险评估没问题后,重启了 imBTC 的转账功能。
4月19日 09:28,Tokenlon 收到 Lendf.Me 反馈,遭遇类似 Uniswap 事件的重入攻击,出现大量异常借贷行为。
4月19日 10:12,为配合调研重入攻击事件,Tokenlon 暂停 imBTC 的转账功能。
4月20日 7:30,imBTC 合约开启转账功能,但 App UI 尚未开启。
注:在收到黑客邮件后,Lendf.me 官方联系我们希望开启转账,黑客有意归还。
4月21日 13:33,攻击者钱包开始向 Lendf.me 管理员钱包归还资产。
4月21日 14:41, 根据 Lendf.Me 官方公告说明,已追回被盗资产,Lendf.Me 将于一周内公布资产返还的建议方案。
4月22日 18:00,imBTC 全面恢复转账/赎回/交易功能。
imBTC 现状
目前,imBTC 已经全面恢复转账/赎回/交易功能。
imBTC 是与 BTC 1:1 锚定的 ERC-777 代币(兼容 ERC-20 ),由 Tokenlon 负责发行和监管,imBTC 采用 ERC-777 代币标准规范,本身并没有安全问题。但目前出现 ERC-777 代币与 Uniswap/Lendf.Me 合约组合,存在重入攻击漏洞。
我们在此呼吁,DeFi 开发者应立即检查相关问题,并与社区共同建立更加完善的风控机制和保险机制。
最后,请关注 Tokenlon 相关渠道公告,我们会持续更新处理进展。