DeFi攻擊頻發：ERC-777難辭其咎？_777:DEFI

來源：Medium

作者：ProvableThings

來源：ETH中文網

譯者序：DeFi協議Uniswap及dForce于4月18、19日相繼受到重入攻擊，損失金額高達數千萬美元。有驚無險的是，dForce已追回被盜資產并歸還用戶。一時之間，矛頭直指ERC-777代幣標準。然而，ERC777本質上作為ERC-20的擴展，目的是增加新功能從而提升用戶體驗。我們是否真的要因噎廢食？DeFi又應該如何突破安全瓶頸？

僅僅只是一個周末的時間，智能合約帳戶被盜金額高達數千萬美元。

Uniswap的imBTC資金池遭到黑客攻擊，導致價值30萬的代幣丟失。時隔不久，dForce也遭到了類似的攻擊，盡管大部分的失竊加密貨幣目前已被歸還。這兩起事件都是利用重入攻擊向量漏洞發起攻擊。

SBF：透明的鏈上 DeFi 應用程序不可能出現危機:金色財經報道，FTX創始人SBF在社交媒體上回應“如何確保三箭危機不再發生”時表示，當務之急不是“確保沒有人破產”，而是保持機構信用對散戶投資者透明。SBF認為，監管在這方面可以提供幫助，而且DeFi也可以，因為透明的鏈上 DeFi 應用程序不可能出現危機。 據英國《金融時報》報道，上周有傳言稱，總部位于新加坡的加密投資公司3AC因未能滿足包括 BlockFi 和金融服務公司 Genesis 在內的多家貸方的追加保證金要求而資不抵債，盡管消息尚未得到完全確認，但據傳包括加密貨幣交易所 BitMEX 在內的 3AC 的幾家大型貸方已開始清算其頭寸，而投資組合公司也開始與其保持距離。[2022/6/20 4:39:52]

有人聲稱ERC-777代幣標準的某些函數存在漏洞是造成這兩起攻擊的原因。但是，重入攻擊漏洞已司空見慣，尤其在2016年的DAO攻擊發生期間名聲大噪。因此實際上，攻擊與ERC-777代幣標準本身無關。

重要的是，隨著這個新興行業的發展，我們必須要認識到各種協議的優點和缺點，鼓勵開放協作與爭議，共同致力于提高行業標準。

DeFi Technologies子公司Valor資產管理規模超過2.74億美元:3月31日消息，DeFi Technologies宣布其子公司Valor的資產管理規模（AUM）超過2.742億美元，與去年5月1.435億美元的AUM相比增長91%。

該公司提供在歐洲交易所上市的各種以加密貨幣計價的交易所交易產品（ETP），包括資產管理規模9523.2萬美元的BTC Zero、6737.1萬美元的ETH Zero、4340.8萬美元的ADA Valour、2440.9萬美元的DOT Valour、3849.8萬美元的SOL Valour，145萬美元的UNI Valour、260.5萬美元的LUNA Valour和125.6萬美元的AVAX Valour產品。

此外，Valor的凈銷售額環比增長205%，從2021年5月的1.063億美元增長到2022年3月的逾3.245億美元。（Cointelegraph）[2022/3/31 14:28:49]

怪罪于代幣標準是無建設性的，并且會誤導大眾。旨在解決舊問題的新代幣標準本身更具備安全性，卻因此或許面臨被質疑的風險。反之，我們要對這種不斷演變的事實進行周全的分析并采取行動。?

DeFi門戶Avantgarde完成550萬美元A輪融資:9月27日消息，DeFi門戶Avantgarde Finance完成550萬美元A輪融資，由Blockchange Ventures領投，Placeholder VC, Jump Capital, Acrew Ventures等參投。資金將用于擴大團隊規模，擴大公司資產管理、財庫管理、DApp開發，DAO用戶基礎。（CoinDesk）[2021/9/27 17:10:25]

ERC-777是什么？

以太坊代幣即運行于以太坊之上的數字貨幣，在生態系統中發揮著獨特而重要的作用。各個代幣由其智能合約表示，其他DApp和用戶與這些智能合約進行交互。

因此，以太坊引進了代幣標準，以此來簡化生態系統中的諸多DApp與代幣之間的交互，從而提高可組合性。秉承著成為“標準代幣接口”的目標，ERC-20代幣標準最初于2015年投入開發。此處是ERC20代幣標準運作機制的相關指南。

隨著時間的推移，以太坊代幣與生態系統建立起越來越多的聯系，應用范圍越來越廣泛。代幣的用例和應用日益增多，更加復雜的智能合約對基本ERC-20代幣標準提出了更高的要求，因此其部分局限性也隨之開始顯現。

FTX發起DeFi項目DMG與VET上線投票:加密衍生品交易所FTX現已開啟第三輪的DeFi項目投票上線活動，本輪競爭上線幣種為DMG與VET。FTX將上線勝出方的季度合約、永續合約以及杠桿代幣。該投票將于7月8日晚上11點關閉。根據官方規則顯示，每個用戶的投票權重基于用戶所持有FTT余額和每月成交量來計算。

投票勝出方上線一周后，所有投票給此勝出幣種、交易此勝出幣種任意交易對以及持有不少于投票時FTT代幣資產的用戶將共同瓜分價值5,000美元的獎金池。據悉，FTX現已上線的DeFi熱門項目包括COMP、MKR、BAL及KNC。[2020/7/6]

實際上，最初該標準是為處理基本功能性而設的，因此不適用于所有用例。

盡管當今大多數代幣都遵循ERC-20標準，但仍有部分代幣在此基礎上根據自身需求添加自定義功能。結果，部分非標準功能(稱為“擴展功能(extension)”)已添加到各個代幣。

譬如，ERC-20標準不支持鑄造和銷毀功能，但事實上這些功能是必需的，于是便被添加為擴展功能。在某些情況下，功能需求部分重合，因此各種代幣添加的擴展功能不盡相同。

挪威交易所NBX預計今年春季啟動DeFi相關業務:挪威加密交易所NBX與挪威航空有著密切聯系。然而，由于當前的航空業危機，挪威航空的股價自2月份以來暴跌了80%左右。今天，英國《金融時報》報道稱，該公司正在考慮尋求政府援助。盡管挪威航空并不是NBX的股東，但其作為NBX新推出的加密購票解決方案的初始客戶，其重要性不言而喻。當被問及NBX在沒有挪威航空合作業務的情況下是否有進一步發展交易所的計劃時，NBX首席執行官Stig Kjos-Mathiesen表示，他不愿就該公司目前的情況置評，但他強調，該公司的支付解決方案只是NBX業務的“一小部分”。Mathiesen稱：“挪威航空是NBX的試點客戶，但其意圖一直是在幾個行業提供商業支付解決方案。”此外，Mathiesen還表示：“DeFi業務現在是公司的一個重點領域。對NBX來說，最重要的是為客戶提供DeFi產品。我們的交易所是使客戶在不同的DeFi協議和網絡之間移動變得簡單和無縫的一個重要部分。這是我們過去一年的路線圖，我們希望能夠在春季啟動。”（Cryptonews）[2020/3/29]

ERC-20標準的這種分散性使DApp集成過程，甚至整體可組合性不必要地復雜化。為了解決這種分散性問題，社區試圖就新標準達成共識。

經過持續兩年的開放討論，這項新的ERC-777代幣標準于去年推出。ERC-777代幣標準的功能更為強大，它“試圖對廣泛使用的ERC20代幣標準進行改良”，并成為其正式化的完全擴展版本。

它引入并“明確了與代幣交互所需的高級功能”，使代幣持有者能夠更好地控制其資產。所有ERC-777代幣都向后兼容ERC-20標準，這意味著如果DApp或錢包支持ERC-777標準，那么也就支持ERC-20標準。

ERC-20是一種簡單的代幣格式。正是得益于其簡易性，目前已有眾多項目和團隊利用該標準相對輕松地構建了新的DApp，既促進了生態系統的發展，也激發了創新創造活力。然而，它的局限性也使其面臨用戶體驗方面的持續挑戰。

ERC-777標準旨在解決ERC-20標準固有的兩個主要問題

1.ERC-20僅對以太幣(ETH)交易做出響應。批準并轉賬需要進行兩個步驟，這一缺點導致諸多用戶體驗問題。最明顯的問題是，處理單個請求需要發起兩筆獨立的交易。

ERC-777則能通過執行功能實現代幣的轉入，無需借助ETH作為媒介，從而簡化了轉賬流程。

2.?“用戶操作失誤”導致價值數百萬美元的代幣丟失。用戶通常將其代幣發送到智能合約，而不是區塊鏈目的地址。由于尚未界定在處理此類錯誤的情況下`transfer`函數的標準行為，所以ERC-20合約無法檢測到此類錯誤。

ERC20代幣標準的這一特征“是一個軟件bug，可歸類為軟件漏洞”。相比之下，ERC-777智能合約能夠檢測到此類錯誤并拒絕錯誤的代幣轉賬行為。

ERC-777標準與某些協議不兼容

ERC-777標準的特定函數是其獨特的特征。這些函數實現了協議之間的互操作性，這對于擴展以太坊生態系統至關重要。

但是，由于ERC-777代幣標準是去年才引入的，所以這些特征可能與某些協議不相兼容，尤其是某些先前部署的智能合約。

鑒于以太坊的快速發展以及新興去中心化金融智能合約的日益復雜，存在不兼容性不足為奇。但重要的是，也要盡快解決協議中的這些問題，因為它們暴露在攻擊向量的入侵之下。對于其他各種不兼容性來說也是一樣的道理，不僅僅是針對ERC-777標準。

隨著該新標準的采用率越來越高，其他項目也就必須支持ERC-777代幣，或者以其他方式實施必要的安全措施，以保護自身項目免受此類攻擊。不幸的是，許多項目并沒有做到以上兩點。

在某些情況下，例如，即使Uniswap團隊公布了V.1版本存在此問題，也只是不鼓勵用戶鎖定其ERC-777代幣到流動性池中。

Uniswap團隊似乎還錯誤地以為，轉賬代幣時受到重入攻擊，合約仍處于安全狀態。請注意，這種假設對于任何一種智能合約都不成立，但是某些協議還是將代幣轉賬錯誤地假定為比正常情況更安全。不幸的是，上上個周末發生的重入攻擊正是操縱了此漏洞。

發起重入攻擊即操縱智能合約中進行交互(進行“交流”和互操作)的函數對合約進行攻擊。例如，用戶兌換其代幣時或許會涉及三個智能合約；智能合約A(一種dApp或協議如Uniswap)與智能合約B(代幣智能合約如imBTC，或另一種dApp或協議)進行交互，然后智能合約B與智能合約C(任何能夠由黑客創建，只為盜取資金的智能合約)進行交互。

如果智能合約C受攻擊者劫持，它可以發送代幣請求，但會偽造收到資金的確認信息。發送代幣至智能合約C的請求仍然執行，但是攻擊者可以繼續假裝從未收到代幣。由于這是一個自動化過程，因此無法進行干預，除非用戶意識到正在受到攻擊并終止合約。

前車之鑒

這種攻擊向量暴露在被攻擊的風險下。作為以太坊互操作性的一項關鍵特征，它可以通過多種方式加以操縱。代幣智能合約也是發起重入攻擊的工具之一。最近發生的imToken/Uniswap和dForce攻擊就是如此。

我們不能因噎廢食，攻擊事件并不足以為DeFi時代劃上句號，甚至不足以使我們質疑ERC-777代幣標準的安全性。

ERC-777代幣的數量正在穩定增長。諸如Augur之類的團隊正在決定將其代幣格式從ERC-20升級為ERC-777。隨著DeFi行業的發展，我們必須了解使用此類創新技術的風險以及如何將風險降至最低，這一點至關重要。

這種漏洞的優點在于，它屬于代碼錯誤，而非傳統金融行業中普遍存在的固有的系統性缺陷——腐敗、過度監管和排斥性。通過DeFi，我們已經將信任從人類轉移到代碼身上。因此，盡管總會有人存心利用代碼，但是至少代碼本身并沒有從人類身上獲利的企圖。當今的經濟體系卻并非如此。

作為DeFi行業的一份子，我們應該不斷改進標準，使每次迭代都變得更強大、更安全。目前，ERC-777具有一系列優勢，能為代幣持有者和DApp帶來價值。我們應該始終致力于改進ERC-777標準以及今后所有的標準。DeFi要脫穎而出，突破口正在于此。

Tags：777EFIDEFDEFI777幣子機加難塊在哪里呀去中心化金融defi入門分析與理解PhoenixDefiSwapXDEFI Governance Token

波場