以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > ICP > Info

DeFi攻擊頻發:ERC-777難辭其咎?_EFI

Author:

Time:1900/1/1 0:00:00

譯者序:DeFi協議Uniswap及dForce于4月18、19日相繼受到重入攻擊,損失金額高達數千萬美元。有驚無險的是,dForce已追回被盜資產并歸還用戶。一時之間,矛頭直指ERC-777代幣標準。然而,ERC777 本質上作為ERC-20的擴展,目的是增加新功能從而提升用戶體驗。我們是否真的要因噎廢食?DeFi又應該如何突破安全瓶頸?

僅僅只是一個周末的時間,智能合約帳戶被盜金額高達數千萬美元。

Uniswap的imBTC資金池遭到黑客攻擊,導致價值30萬的代幣丟失。時隔不久,dForce也遭到了類似的攻擊,盡管大部分的失竊加密貨幣目前已被歸還。這兩起事件都是利用重入攻擊向量漏洞發起攻擊。

有人聲稱ERC-777代幣標準的某些函數存在漏洞是造成這兩起攻擊的原因。但是,重入攻擊漏洞已司空見慣,尤其在2016年的DAO攻擊發生期間名聲大噪。因此實際上,攻擊與ERC-777代幣標準本身無關。

全網DeFi鎖倉量為1131.6億美元 24小時下降11.70%:金色財經消息,據DeFiLIama數據顯示,當前全網DeFi鎖倉量1131.6億美元,24小時下降11.70%。目前,鎖倉量排名前5的公鏈分別為:ETH(719.6億美元)、BSC(87.2億美元)、Avalanche(53.1億美元)、Solana(41.2億美元)、Tron(40.2億美元)。[2022/5/14 3:15:19]

重要的是,隨著這個新興行業的發展,我們必須要認識到各種協議的優點和缺點,鼓勵開放協作與爭議,共同致力于提高行業標準。

怪罪于代幣標準是無建設性的,并且會誤導大眾。旨在解決舊問題的新代幣標準本身更具備安全性,卻因此或許面臨被質疑的風險。反之,我們要對這種不斷演變的事實進行周全的分析并采取行動。

ERC-777是什么?

以太坊代幣即運行于以太坊之上的數字貨幣,在生態系統中發揮著獨特而重要的作用。各個代幣由其智能合約表示,其他DApp和用戶與這些智能合約進行交互。

因此,以太坊引進了代幣標準,以此來簡化生態系統中的諸多DApp與代幣之間的交互,從而提高可組合性。秉承著成為 “標準代幣接口” 的目標,ERC-20代幣標準最初于2015年投入開發。此處是ERC20代幣標準運作機制的相關指南。

DeFi生態系統總鎖定價值首次突破1000億美元:根據DeFi生態系統追蹤器DeFiLlama,DeFi生態系統的總鎖定價值今天首次突破1000億美元。根據Wikipedia的數據,這意味著DeFi目前相當于美國第40大銀行,介于硅谷銀行的970億美元資產和西班牙對外銀行(美國)的1030億美元資產之間。(CoinTelegraph)[2021/4/7 19:52:12]

隨著時間的推移,以太坊代幣與生態系統建立起越來越多的聯系,應用范圍越來越廣泛。代幣的用例和應用日益增多,更加復雜的智能合約對基本ERC-20代幣標準提出了更高的要求,因此其部分局限性也隨之開始顯現。

實際上,最初該標準是為處理基本功能性而設的,因此不適用于所有用例。

盡管當今大多數代幣都遵循ERC-20標準,但仍有部分代幣在此基礎上根據自身需求添加自定義功能。結果,部分非標準功能 (稱為 “擴展功能 (extension)” ) 已添加到各個代幣。

Kraken首席執行官:DeFi在吞噬整個金融世界:2月2日消息,加密貨幣交易所Kraken首席執行官Jesse Powell在接受采訪時表示,以太坊讓人們進入去中心化智能合約、去中心化交易所、借貸協議這些領域。不管人們是否知道,但DeFi真的在吞噬整個金融世界。Jesse Powell認為10年后,90%的金融服務都將由區塊鏈來完成。(Crypto Globe)[2021/2/2 18:43:05]

譬如,ERC-20標準不支持鑄造和銷毀功能,但事實上這些功能是必需的,于是便被添加為擴展功能。在某些情況下,功能需求部分重合,因此各種代幣添加的擴展功能不盡相同。

ERC-20標準的這種分散性使DApp集成過程,甚至整體可組合性不必要地復雜化。為了解決這種分散性問題,社區試圖就新標準達成共識。

經過持續兩年的開放討論,這項新的ERC-777代幣標準于去年推出。ERC-777代幣標準的功能更為強大,它 “試圖對廣泛使用的ERC20代幣標準進行改良”,并成為其正式化的完全擴展版本。

它引入并 “明確了與代幣交互所需的高級功能”,使代幣持有者能夠更好地控制其資產。所有ERC-777代幣都向后兼容ERC-20標準,這意味著如果DApp或錢包支持ERC-777標準,那么也就支持ERC-20 標準。

Kava Labs CEO:DeFi將在2021年擺脫以太坊的統治:??Kava CEOBrian Kerr表示,由于目前的網絡問題,DeFi將突破以太坊的控制,同時行業內的跨鏈性質更加明顯。

DeFi行業整體會有起伏,但除了目前的炒作,DeFi正在興起一些非常有趣的金融產品,有非常大的發展潛力。Kerr設想,DeFi領域在明年會變得更加跨鏈化。盡管以太坊現在是無可爭議的領導者,但它的作用最終會下降。盡管如此,網絡擁堵和高額Gas等問題將降低其主導地位。

不過大量新的可疑DeFi應用也會出現,這些應用將偏向于“類似于退出詐騙或者純粹的龐氏騙局,而不是任何真正的金融產品”。在未來五年內,中心化平臺將開始整合越來越多的DeFi協議。這將創造更好的用戶體驗,并有可能使DeFi市場的散戶群激增。

Kava的年度計劃包括擴大跨鏈橋,以允許新資產在平臺的DeFi中心上使用。Kava還將開發多個應用,以利用這些資產作為抵押品。Hard Protocol v2計劃在即將到來的幾個月內推出,隨后將推出AMM應用和DeFi Robo-advisor。“在未來5-10年內,Kava還將繼續擴大我們的企業和金融機構合作關系,因為DeFi越來越為主流參與者所接受。”[2020/11/7 11:55:36]

ERC-20是一種簡單的代幣格式。正是得益于其簡易性,目前已有眾多項目和團隊利用該標準相對輕松地構建了新的DApp,既促進了生態系統的發展,也激發了創新創造活力。然而,它的局限性也使其面臨用戶體驗方面的持續挑戰。

動態 | Coinbase將為DeFi協議投資200萬美元:Coinbase周二宣布為DeFi協議Compound和dYdX分別投資100萬美元。新資金將通過“直接為協議投資USDC”來支持開發商。(coindesk)[2019/9/11]

ERC-777標準旨在解決ERC-20標準固有的兩個主要問題

1.ERC-20僅對以太幣 (ETH) 交易做出響應。批準并轉賬需要進行兩個步驟,這一缺點導致諸多用戶體驗問題。最明顯的問題是,處理單個請求需要發起兩筆獨立的交易。ERC-777則能通過執行功能實現代幣的轉入,無需借助ETH作為媒介,從而簡化了轉賬流程。

2. “用戶操作失誤” 導致價值數百萬美元的代幣丟失。用戶通常將其代幣發送到智能合約,而不是區塊鏈目的地址。由于尚未界定在處理此類錯誤的情況下`transfer` 函數的標準行為,所以ERC-20合約無法檢測到此類錯誤。

ERC20代幣標準的這一特征 “是一個軟件bug,可歸類為軟件漏洞”。相比之下,ERC-777智能合約能夠檢測到此類錯誤并拒絕錯誤的代幣轉賬行為。

ERC-777標準與某些協議不兼容

ERC-777標準的特定函數是其獨特的特征。這些函數實現了協議之間的互操作性,這對于擴展以太坊生態系統至關重要。

但是,由于ERC-777代幣標準是去年才引入的,所以這些特征可能與某些協議不相兼容,尤其是某些先前部署的智能合約。

鑒于以太坊的快速發展以及新興去中心化金融智能合約的日益復雜,存在不兼容性不足為奇。但重要的是,也要盡快解決協議中的這些問題,因為它們暴露在攻擊向量的入侵之下。對于其他各種不兼容性來說也是一樣的道理,不僅僅是針對ERC-777標準。

隨著該新標準的采用率越來越高,其他項目也就必須支持ERC-777代幣,或者以其他方式實施必要的安全措施,以保護自身項目免受此類攻擊。不幸的是,許多項目并沒有做到以上兩點。

在某些情況下,例如,即使Uniswap團隊公布了 V.1版本存在此問題,也只是不鼓勵用戶鎖定其ERC-777代幣到流動性池中。

Uniswap團隊似乎還錯誤地以為,轉賬代幣時受到重入攻擊,合約仍處于安全狀態。請注意,這種假設對于任何一種智能合約都不成立,但是某些協議還是將代幣轉賬(不僅是ETH轉賬)錯誤地假定為比正常情況更安全。不幸的是,上上個周末發生的重入攻擊正是操縱了此漏洞。

發起重入攻擊即操縱智能合約中進行交互 (進行“交流”和互操作) 的函數對合約進行攻擊。例如,用戶兌換其代幣時或許會涉及三個智能合約;智能合約A (一種dApp或協議如Uniswap)與智能合約B (代幣智能合約如imBTC,或另一種dApp或協議) 進行交互,然后智能合約B與智能合約C (任何能夠由黑客創建,只為盜取資金的智能合約) 進行交互。

如果智能合約C受攻擊者劫持,它可以發送代幣請求,但會偽造收到資金的確認信息。發送代幣至智能合約C的請求仍然執行,但是攻擊者可以繼續假裝從未收到代幣。由于這是一個自動化過程,因此無法進行干預,除非用戶意識到正在受到攻擊并終止合約。

前車之鑒

這種攻擊向量暴露在被攻擊的風險下。作為以太坊互操作性的一項關鍵特征,它可以通過多種方式加以操縱。代幣智能合約也是發起重入攻擊的工具之一。最近發生的imToken / Uniswap和dForce攻擊就是如此。

我們不能因噎廢食,攻擊事件并不足以為DeFi時代劃上句號,甚至不足以使我們質疑ERC-777代幣標準的安全性。

ERC-777代幣的數量正在穩定增長。諸如Augur之類的團隊正在決定將其代幣格式從ERC-20升級為ERC-777。隨著DeFi行業的發展,我們必須了解使用此類創新技術的風險以及如何將風險降至最低,這一點至關重要。

這種漏洞的優點在于,它屬于代碼錯誤,而非傳統金融行業中普遍存在的固有的系統性缺陷——腐敗、過度監管和排斥性。通過DeFi,我們已經將信任從人類轉移到代碼身上。因此,盡管總會有人存心利用代碼,但是至少代碼本身并沒有從人類身上獲利的企圖。當今的經濟體系卻并非如此。

作為DeFi行業的一份子,我們應該不斷改進標準,使每次迭代都變得更強大、更安全。目前,ERC-777具有一系列優勢,能為代幣持有者和DApp帶來價值。我們應該始終致力于改進ERC-777標準以及今后所有的標準。DeFi要脫穎而出,突破口正在于此。

來源 | Medium

作者 | Provable Things

Tags:EFIDEFIDEF777WeFilmChainPINETWORKDEFI幣DEFILANCER7777歡樂代幣券怎么用

ICP
智能合約如何改變傳統金融_區塊鏈

不可否認的是,自區塊鏈誕生以來,它的用例、潛力以及可靠性一直都是存在爭議的。此外,一系列臭名昭著的比特幣騙局,比如假冒比特幣交易所的BitKRX騙局、MiningMax的龐氏騙局以及ICO騙局,

1900/1/1 0:00:00
如何用區塊鏈助力智慧城市建設 千年大計雄安新區的新動向_區塊鏈

近日,區塊鏈相關的重磅消息接連平地驚雷。市場各方睽違已久的央行數字貨幣再向前邁進一步:繼2019年末工行內測后,這兩日農行和中行也接連被爆正在內測央行數字貨幣,且向部分用戶開放下載使用;由中國國.

1900/1/1 0:00:00
在三月市場崩盤后 DeFi市值回升至10億美元以上_DEF

支撐DeFi項目的代幣資本化已收回10億美元,而鎖定的總資金價值為7.03億美元。支持去中心化金融(DeFi)協議的通證價值再次超過10億美元.

1900/1/1 0:00:00
拆解中國版數字貨幣:相關的知識產權已有694篇 “央行系”機構申請84篇_數字貨幣

21世紀經濟報道記者根據國家知識產權局數據庫梳理發現,數字貨幣相關的知識產權已有694篇。其中,“央行系”機構申請最多,共計84篇,支付寶申請了5篇。貨幣從來是主權的象征.

1900/1/1 0:00:00
晚間必讀5篇|盤點流行的比特幣Meme 火燒助記詞板_比特幣

1.那些流行的比特幣Meme“不要信,去驗證。(Don’t trust, verify)”、“不掌握私鑰,就不是你的幣.

1900/1/1 0:00:00
金色觀察 | 一文讀懂索尼的區塊鏈布局_區塊鏈

盡管許多國家由于COVID-19而處于停滯狀態,但技術的主要參與者仍在繼續開發創新的基礎設施,以備我們再次行動之時.

1900/1/1 0:00:00
ads