imBTC 业务更新:Tokenlon 比特币跨链网关服务下线公告
imBTC 状态
✅ imBTC 账本无误,合约安全
✅ BTC 托管安全,与 imBTC 保持 1:1 储备
✅ imBTC 转账,认购,赎回正常
✅ Tokenlon 交易正常
事件背景
最近 Uniswap 和 Lendf.Me 接连发生两起「重入攻击」事件,均由于 DeFi 合约缺少重入攻击保护,攻击者利用 imBTC(ERC777) 中的多次迭代调用 tokensToSend 方法函数来实现重入攻击。
ERC777 是代币标准规范,本身没有安全问题,但在使用过程中需要格外小心它的 hook 机制,防止 re-entrancy 重入攻击风险。我们建议谨慎集成 imBTC,暂停在使用中的智能合约,进行安全自查。也在此呼吁,DeFi 开发者应立即检查相关问题,并与社区共同建立更加完善的风控机制和保险机制。
为配合调研重入攻击事件,imBTC 合约被暂停。4/20 为配合黑客退回资金,在获得 Lendf.me 官方请求后合约重启了转账功能。并与 4/22 18:00 全面恢复转账/赎回/交易功能。此外 imBTC 托管的 BTC 没有影响,保持 1:1 储备。
事件时间线
4月18日 12:12,Tokenlon 观察到 Uniswap 有 imBTC 异常交易后,立刻定义为 P0 级安全问题,并建立紧急处理小组。
4月18日 12:49,Tokenlon 评估安全问题后,暂停了 imBTC 的转账功能并通知 Lendf.Me 及 其他 imBTC 合作伙伴自查安全风险。
4月18日 17:00,Tokenlon 得到 Lendf.Me 及其他 imBTC 合作平台确认安全风险评估没问题后,重启了 imBTC 的转账功能。
4月19日 09:28,Tokenlon 收到 Lendf.Me 反馈,遭遇类似 Uniswap 事件的重入攻击,出现大量异常借贷行为。
4月19日 10:12,为配合调研重入攻击事件,Tokenlon 暂停 imBTC 的转账功能。
4月20日 7:30,imBTC 合约开启转账功能,但 App UI 尚未开启。
注:在收到黑客邮件后,Lendf.me 官方联系我们希望开启转账,黑客有意归还。
4月21日 13:33,攻击者钱包开始向 Lendf.me 管理员钱包归还资产。
4月22日 18:00,向 Lendf.me 官方确认归还资产妥当后,全面恢复转账/赎回/交易功能。
关于 imBTC
imBTC 是 1:1 锚定 BTC 的以太坊代币,由 Tokenlon 负责发行和监管。imBTC 采用 ERC777 代币标准规范,经过第三方安全团队审计。
了解更多:https://tokenlon.im/imBTC
用户联系:
- Intercom (imBTC DApp内)
- tokenlonvip (微信)
商务联系:bd@tokenlon.im