( 红包 ) Uniswap上的代币被盗背后的思考?

埋点提示（交易 ）

4月18日，一个明星DeFi协议被黑客窃取了其中的以太坊和代币化的比特币。

区块链DeFi开发专家Julien Bouteloup在推文说了此事，他表示攻击者设法从基于Uniswap的Tokenlon的市场里，窃取了价值超过30万美元的ETH，以及基于ERC 777的imBTC代币。

PS: Uniswap在此次攻击中损失了1,278个ETH，价值约22万美元，此外还有大约18.37个 imBTC被0x3195c3和0x17559a开头的两个套利者以较低的价格获取。

（ 推特的截图 ）

（ ulien Bouteloup 推特的截图 ）

（ 节点、区块、用户直接的关系 ）

这个看起来很多区块链普通用户其实都有点懵逼?

什么是Uniswap? 

Uniswap是一种基于以太坊的协议，旨在促进ETH和ERC20 代币数字资产之间的自动兑换交易。

Uniswap完全部署在链上 ,  只要钱包支持这个协议，就可以使用这个去中心化功能。

Uniswap也可以被认为是一个DeFi项目，因为它试图利用去中心化协议来让数字资产交易过程中彻底实现去中介化。

为什么会被盗？

正式因为去中心化，所有的程式都是系统自动运算，当价格达到一定低价时候，就会触发清算机制。黑客同学就可以通过低价来购买抵押的高额资产。这个一部分应该是预言机的锅，所有的价格都是预言机提供的。

某种意义上是预言机的锅，但实际上，好比你家里失窃，就一定是锁的锅么，锁厂要给你赔偿么。你不会自己多几个验证机制么，例如多接入几个预言机，还可以自己去实现预言机等等等，一但价格异常，前期可以人工干预。

其实也是程式的漏洞

（ 上面说的大致为，代码具体行数出现问题，以及攻击创建假的交易持，模拟为真的交易，欺骗了机器的信任，表现为正常交换 【 没有对交易进行检测 】）

（ 通过过创建假的交易池 ， 攻击者用少量的ETH买入的TOKEN令牌 ）

如何修复GITHUB也有回答

（ 将互斥锁添加到所有进行交易的函数中，以防止重入。 ）

( 我也看得有点懵逼，但是就这么回事，程序漏洞 )

事情就是这个样子？ 

技术在进步的同事肯定会有漏洞 ， 这个不只是区块链，传统的互联网这个事情比比皆是，曾经拼多多，1分钱购买100电话费，一个晚上损失达到千万（ 估计 ）。

这个事情也辟谣了，但事情存在，解决这个问题背后是法律。

区块链用户追踪没有中心化互联网方便。大家曾经一直认为  Code is law （ 代码即法律 ） 这样的不理智的行为！！

怎么补救预防？

工程系统上：

1. 在核心业务加入锁机制。例如：OpenZeppelin 的 ReentrancyGuard

1. OpenZeppelin  介绍使用
2. ReentrancyGuard  介绍使用

2. 做好安全审计，例如第三方的 慢雾科技

3. 遵守合约开发规范 ，全面考虑多维度，多场景 ， 边界问题的安全防范

4. 应该具备事物回滚性，例如translation ，力度可以随着业务大小控制

5.风险报警，缺少异常终止保护，报警。别让“攻击者”撸光才。。。。。。。

政策上：

政策的推进，一定还是要尽快形成区块链法律，形成监管，资金需要透明合理。

区块链的宗旨是防止作恶，监管透明。只有这样社会才能越来越美好。

( 来一首“哥哥”当年情的歌曲 )

文中做埋点红包 （ 提示: 交易 ）， 埋点红包会根据上一篇文章的点赞为基数生成 。

讨论奖 :

讨论主题，代码即法律你怎么看？（ 想参与中奖的留言一定要扣题，别跑题 ）

要求：字数不能少于30 & 转发 & 关注我 & 加币乎当当群  ( 缺一不可 ) 

奖项1：挑选符合要求的, 如果10个则一人100KEY，20以上则50KEY。（ 数量不限制 ）

转发有效时间为当天晚上24点，从发文开始。例如今天10点发, 到晚上12有效（ 方便凌晨整理数据），奖励会在第二天24点前全部发放。规则 ：转发&评论&@我（ 评论30个字以上 ，上限20名 ， 超过数量，则以精评为参选 ，中奖名单会在微文@通知，到时候附上你的mykey账户）。

（ 个人主页有微信号,  WX:  yikuair_www ）备注: 入币乎群