我上周去翻了一下 @Bedrock 的安全文档,是因为一个细节让我很好奇:2024年那次uniBTC漏洞之后,他们到底改了什么。
以前的逻辑是"铸币和储备验证分开跑"——你存了BTC,合约mint uniBTC,储备核查是事后的。这就留了一个窗口期,攻击者可以在验证落地之前把unbacked的token套走,损失约200万美元。
升级之后的做法是:铸币和储备检查合并成一个原子操作。Chainlink的DON节点持续在链上更新BTC储备数据;每次mint之前,合约先调Secure Mint查:当前总供应量 + 本次mint数量 ≤ 链上储备量,不满足就整笔交易revert。不是事后核查,是直接锁在mint逻辑里。
我去链上查了一笔真实的uniBTC mint记录,能看到调用了PoR feed的checkpoint。任何人都可以在Chainlink的页面上对着同一个地址核查。
这个改法的意思是:超发物理上不可能发生,不是靠团队诚信,是靠合约逻辑卡死的。
BTCFi里对储备安全讲得最多,真正把验证塞进铸币流程的,目前我看到的 @Bedrock 是做得最完整的一个。