宇宙链 宇宙链
Ctrl+D收藏宇宙链

DeFi攻击频发:ERC-777难辞其咎?

作者:

时间:1900/1/1 0:00:00

来源:Medium

作者:ProvableThings

来源:ETH中文网

译者序:DeFi协议Uniswap及dForce于4月18、19日相继受到重入攻击,损失金额高达数千万美元。有惊无险的是,dForce已追回被盗资产并归还用户。一时之间,矛头直指ERC-777代币标准。然而,ERC777本质上作为ERC-20的扩展,目的是增加新功能从而提升用户体验。我们是否真的要因噎废食?DeFi又应该如何突破安全瓶颈?

仅仅只是一个周末的时间,智能合约帐户被盗金额高达数千万美元。

Uniswap的imBTC资金池遭到黑客攻击,导致价值30万的代币丢失。时隔不久,dForce也遭到了类似的攻击,尽管大部分的失窃加密货币目前已被归还。这两起事件都是利用重入攻击向量漏洞发起攻击。

法国央行CBDC项目将改善DeFi流动性、清算代币化资产:金色财经报道,法国中央银行周二宣布了新项目,以实现银行和金融市场在批发层面使用央行数字货币 (CBDC) 的好处。

行长Villeroy de Galhau在法国央行数字货币会议上表示,批发CBDC可以大大有助于改善跨境和跨货币支付。批发层面的CBDC比其零售层面的CBDC吸引的关注要少。

de Galhau补充称,一个企业将寻求改善CBDC在DeFi中的流动性管理,比如通过自动做市商,这将发挥相当于投资银行的作用,寻求维持特定证券的交易。[2022/9/27 22:34:30]

有人声称ERC-777代币标准的某些函数存在漏洞是造成这两起攻击的原因。但是,重入攻击漏洞已司空见惯,尤其在2016年的DAO攻击发生期间名声大噪。因此实际上,攻击与ERC-777代币标准本身无关。

重要的是,随着这个新兴行业的发展,我们必须要认识到各种协议的优点和缺点,鼓励开放协作与争议,共同致力于提高行业标准。

怪罪于代币标准是无建设性的,并且会误导大众。旨在解决旧问题的新代币标准本身更具备安全性,却因此或许面临被质疑的风险。反之,我们要对这种不断演变的事实进行周全的分析并采取行动。?

Avalanche链上DeFi协议总锁仓量上升至162亿美元:金色财经报道,据DefiLlama数据显示,目前Avalanche链上DeFi协议总锁仓量为162.3亿美元,24小时增加8%。锁仓资产排名前五分别为AAVE V3(32.9亿美元)、AAVE (29.9亿美元)、Benqi(16.3亿美元)、Curve(14.4亿美元)、Trader Joe (JOE)(12.4亿美元)。

此外,AAVE当前报价185美元,24小时跌幅0.60%。[2022/4/21 14:37:38]

ERC-777是什么?

以太坊代币即运行于以太坊之上的数字货币,在生态系统中发挥着独特而重要的作用。各个代币由其智能合约表示,其他DApp和用户与这些智能合约进行交互。

因此,以太坊引进了代币标准,以此来简化生态系统中的诸多DApp与代币之间的交互,从而提高可组合性。秉承着成为“标准代币接口”的目标,ERC-20代币标准最初于2015年投入开发。此处是ERC20代币标准运作机制的相关指南。

随着时间的推移,以太坊代币与生态系统建立起越来越多的联系,应用范围越来越广泛。代币的用例和应用日益增多,更加复杂的智能合约对基本ERC-20代币标准提出了更高的要求,因此其部分局限性也随之开始显现。

数据:当前DeFi协议总锁仓量为2313.2亿美元:金色财经消息,据Defi Llama数据显示,目前DeFi协议总锁仓量2313.2亿美元,24小时增加0.84%。锁仓资产排名前五分别为Curve(213.3亿美元)、Lido(205.9亿美元)、Anchor(158.5亿美元)、MakerDAO(158.1亿美元)、AAVE(143.3亿美元)。[2022/4/4 14:03:41]

实际上,最初该标准是为处理基本功能性而设的,因此不适用于所有用例。

尽管当今大多数代币都遵循ERC-20标准,但仍有部分代币在此基础上根据自身需求添加自定义功能。结果,部分非标准功能(称为“扩展功能(extension)”)已添加到各个代币。

譬如,ERC-20标准不支持铸造和销毁功能,但事实上这些功能是必需的,于是便被添加为扩展功能。在某些情况下,功能需求部分重合,因此各种代币添加的扩展功能不尽相同。

ERC-20标准的这种分散性使DApp集成过程,甚至整体可组合性不必要地复杂化。为了解决这种分散性问题,社区试图就新标准达成共识。

NEST LABS负责人Tina Zhang:DeFi还远远没有真正的走出去:金色财经现场报道,在金色财经主办的 “金色沙龙第59期上海站:“DeFi-2021发展形势与投资价值分析”的活动圆桌环节中,NEST LABS负责人 Tina Zhang发言指出:Defi它现在还像一个襁褓婴儿一样,只是刚刚开始,DeFi 还远远没有真正的走出去。

我们按圈层范围,由大到小:普通人-金融圈-科技金融圈-区块链金融-BTC-以太坊-DeFi。

BTC以数字黄金的身份通过十年时间将需求触及到了普通人,ETH暂时还没有做到,DeFi能否助推ETH触达普通人的圈层,或者说DeFi本身能否触达普通人的圈层,可能才是我们未来需要研究的方向和天花板,现在还远远不够。2021仍然是一个Defi元年。[2021/1/22 16:47:49]

经过持续两年的开放讨论,这项新的ERC-777代币标准于去年推出。ERC-777代币标准的功能更为强大,它“试图对广泛使用的ERC20代币标准进行改良”,并成为其正式化的完全扩展版本。

它引入并“明确了与代币交互所需的高级功能”,使代币持有者能够更好地控制其资产。所有ERC-777代币都向后兼容ERC-20标准,这意味着如果DApp或钱包支持ERC-777标准,那么也就支持ERC-20标准。

火币DeFi实验室运营负责人高潮:DeFi已进入快速增长阶段 但也要注意风险:8月14日下午16时,火币尖峰对话DeFi专场第二期AMA在线上举行,白话区块链创始人&CEO 马丹主持此次AMA并同火币矿池POS负责人丁元、火币DeFi实验室运营负责人高潮一起畅聊DeFi和CeFi的融合之道。

高潮表示,近期DeFi市值的快速增长,说明了DeFi落地得到了市场认可,DeFi锁仓资产规模也从5亿快速增长到了50亿,而且还在保持增长势头,DeFi已经从概念进入到规模快速增长阶段,所以DeFi市场面临更多的是机遇,尤其对于那些有创新性的项目。

高潮同时强调,目前对于用户来讲贸然参与DeFi项目确实面临着一些风险,由于DeFi快速增长和创新让很多用户无法真正了解DeFi项目的背后的逻辑,自然也无法判断背后的价值。火币DeFi Labs将会加大用户教育,把DeFi带入寻常百姓家。[2020/8/14]

ERC-20是一种简单的代币格式。正是得益于其简易性,目前已有众多项目和团队利用该标准相对轻松地构建了新的DApp,既促进了生态系统的发展,也激发了创新创造活力。然而,它的局限性也使其面临用户体验方面的持续挑战。

ERC-777标准旨在解决ERC-20标准固有的两个主要问题

1.ERC-20仅对以太币(ETH)交易做出响应。批准并转账需要进行两个步骤,这一缺点导致诸多用户体验问题。最明显的问题是,处理单个请求需要发起两笔独立的交易。

ERC-777则能通过执行功能实现代币的转入,无需借助ETH作为媒介,从而简化了转账流程。

2.?“用户操作失误”导致价值数百万美元的代币丢失。用户通常将其代币发送到智能合约,而不是区块链目的地址。由于尚未界定在处理此类错误的情况下`transfer`函数的标准行为,所以ERC-20合约无法检测到此类错误。

ERC20代币标准的这一特征“是一个软件bug,可归类为软件漏洞”。相比之下,ERC-777智能合约能够检测到此类错误并拒绝错误的代币转账行为。

ERC-777标准与某些协议不兼容

ERC-777标准的特定函数是其独特的特征。这些函数实现了协议之间的互操作性,这对于扩展以太坊生态系统至关重要。

但是,由于ERC-777代币标准是去年才引入的,所以这些特征可能与某些协议不相兼容,尤其是某些先前部署的智能合约。

鉴于以太坊的快速发展以及新兴去中心化金融智能合约的日益复杂,存在不兼容性不足为奇。但重要的是,也要尽快解决协议中的这些问题,因为它们暴露在攻击向量的入侵之下。对于其他各种不兼容性来说也是一样的道理,不仅仅是针对ERC-777标准。

随着该新标准的采用率越来越高,其他项目也就必须支持ERC-777代币,或者以其他方式实施必要的安全措施,以保护自身项目免受此类攻击。不幸的是,许多项目并没有做到以上两点。

在某些情况下,例如,即使Uniswap团队公布了V.1版本存在此问题,也只是不鼓励用户锁定其ERC-777代币到流动性池中。

Uniswap团队似乎还错误地以为,转账代币时受到重入攻击,合约仍处于安全状态。请注意,这种假设对于任何一种智能合约都不成立,但是某些协议还是将代币转账错误地假定为比正常情况更安全。不幸的是,上上个周末发生的重入攻击正是操纵了此漏洞。

发起重入攻击即操纵智能合约中进行交互(进行“交流”和互操作)的函数对合约进行攻击。例如,用户兑换其代币时或许会涉及三个智能合约;智能合约A(一种dApp或协议如Uniswap)与智能合约B(代币智能合约如imBTC,或另一种dApp或协议)进行交互,然后智能合约B与智能合约C(任何能够由黑客创建,只为盗取资金的智能合约)进行交互。

如果智能合约C受攻击者劫持,它可以发送代币请求,但会伪造收到资金的确认信息。发送代币至智能合约C的请求仍然执行,但是攻击者可以继续假装从未收到代币。由于这是一个自动化过程,因此无法进行干预,除非用户意识到正在受到攻击并终止合约。

前车之鉴

这种攻击向量暴露在被攻击的风险下。作为以太坊互操作性的一项关键特征,它可以通过多种方式加以操纵。代币智能合约也是发起重入攻击的工具之一。最近发生的imToken/Uniswap和dForce攻击就是如此。

我们不能因噎废食,攻击事件并不足以为DeFi时代划上句号,甚至不足以使我们质疑ERC-777代币标准的安全性。

ERC-777代币的数量正在稳定增长。诸如Augur之类的团队正在决定将其代币格式从ERC-20升级为ERC-777。随着DeFi行业的发展,我们必须了解使用此类创新技术的风险以及如何将风险降至最低,这一点至关重要。

这种漏洞的优点在于,它属于代码错误,而非传统金融行业中普遍存在的固有的系统性缺陷——腐败、过度监管和排斥性。通过DeFi,我们已经将信任从人类转移到代码身上。因此,尽管总会有人存心利用代码,但是至少代码本身并没有从人类身上获利的企图。当今的经济体系却并非如此。

作为DeFi行业的一份子,我们应该不断改进标准,使每次迭代都变得更强大、更安全。目前,ERC-777具有一系列优势,能为代币持有者和DApp带来价值。我们应该始终致力于改进ERC-777标准以及今后所有的标准。DeFi要脱颖而出,突破口正在于此。

标签:EFIDEFIDEF777Endless BattlefieldEVAL DEFIDeFinomics777币的价格

比特币交易所热门资讯
推特CEO:比特币白皮书美如“诗歌”,是过去二三十年最具开创性的著作之一

Twitter首席执行官兼联合创始人杰克·多尔西在接受技术研究员的播客采访时,将比特币的白皮书称为“诗歌”.

1900/1/1 0:00:00
谈去中心化:还没走两步,就要往回逃

作者:NEST爱好者_DW1987最近有人因为312DeFi事件开始批判去中心化,有点像吃了带毛猪就骂猪肉垃圾。这些人不去想想事情的根源,是屠夫没有剃好毛呢,还是猪肉本身就不值一试.

1900/1/1 0:00:00
Token流通量的变化能直接影响价格吗?

“用一个数学公式来推演一下token供应量变化带来的基本面变化。” 小结 本文试图从货币流通理论出发构建代币经济体价值及代币“内在价值”的评估框架。根据货币流通理论,销毁不能直接提高代币的理论价格.

1900/1/1 0:00:00
Messari Q1报告:稳定币创有史以来表现最好季度,以太坊占据加密货币价值转移主导地位

稳定币的故事就是以太坊的故事,2020年第一季度是稳定币有史以来最好的季度。在冠状病大流行推动全球投资者向避险资产转移之际,在2020年第一季度,稳定币的发行量激增超过80亿美元。这一变化是如此剧烈,以至于动摇了加密货币的普遍秩序.

1900/1/1 0:00:00
多元场景浮出,区块链金融应用渐深化

作者:记者罗逸姝张莫北京报道 来源:经济参考报 随着国家网信办第三批区块链备案信息的公示以及银行年报对“含链量”的披露,更多区块链金融应用场景“浮出水面”.

1900/1/1 0:00:00
首个具有 Eth2.0 阶段0主网配置的测试网 Topaz 已经发布

就在两年前,PrysmaticLabs开始了实现Eth2.0的旅程,其中有三个里程碑:Ruby、Sapphire和Diamond(1)。这些里程碑体现了我们希望如何将以太坊推广到全球范围的愿景.

1900/1/1 0:00:00