作者:MetaTrustLabs
在Web3領域,重入漏洞導致了大規模黑客攻擊和巨額財務損失,智能合約安全性逐漸面臨嚴峻挑戰。由MetaTrustLabs推出的Prover引擎正在引發一場新的安全革命,該引擎也是第一個通過形式驗證證明智能合約防重入安全性的解決方案,并提供數學保證。
智能合約安全現狀
由于其自治性和不可撤銷性,智能合約容易出現安全問題。重入攻擊是其中最具毀滅性且可預防的漏洞之一,導致價值數百萬美元的黑客攻擊。現有解決方案如人工審核、靜態分析和模糊測試缺乏數學嚴密性和可擴展性。它們難以贏得開發者的信任,無法解決此關鍵問題。
安全公司:BistrooIO遭受重入攻擊,損失約47000美元:5月8日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺“安全輿情監控數據顯示,BistrooIO 項目遭受重入攻擊,損失1,711,569個BIST(約47000美元),經成都鏈安技術團隊分析,本次攻擊原因是由于pTokens BIST代幣支持ERC-777的代幣標準,其合約在實現transfer調用的時候,會調用_callTokenToSend,進而調用tokensToSend()函數,攻擊者在該函數中通過重入方式調用了EmergencyWithdraw函數,造成重入攻擊。[2022/5/8 2:58:42]
一個形式驗證的解決方案:Prover引擎
聲音 | 古千峰評DAO損失1.2億美金“重入漏洞” 重現江湖:昨日,降維安全實驗室監測到,成人娛樂系統spankchain支付通道(payment channel)關聯的智能合約LedgerChannel遭到了重入攻擊,DAO損失1.2億美金的“重入漏洞” 重現江湖。
對此BTCMedia亞太區CTO古千峰給出兩點提示:1.合約開發者不能信任任何用戶提供的數據,包括但不限于public/external函數的入參,回調合約的地址等。
2.關鍵操作必須原子化, 譬如在以太幣/代幣轉賬成功后,對應賬戶的余額修改必須立即執行,假如轉賬失敗,必須通過 revert()等操作拋出異常,回滾狀態。[2018/10/11]
Prover引擎使用形式方法證明重入安全性,并提供數學證明。它讓開發者、審核人員和資助人確信,如果一份合約被證明安全,則肯定不存在重入漏洞。我們在合約層面上定義重入安全性,而不是在追蹤層面上定義。如果在任何方法執行期間可能發生的任何潛在的重入調用不會危及狀態一致性,則該合約是重入安全的。具體來說,在調用之前修改但在調用之后使用的狀態變量不存在。Prover引擎將一份合約分解為每個都只包含一個外部調用的片段。它對每個片段中的狀態變量變化進行建模,并檢查狀態一致性,可擴展到追蹤分析難以完成的復雜合約。通過結合所有片段的結果,Prover引擎證明整個合約的重入安全性。此保證在數學上是嚴格的。開發者可以放心發布,項目方也可以安全使用由Prover引擎證明重入安全的合約。
動態 | DAO損失1.2億美金的“重入漏洞” 重現江湖:近日,降維安全實驗室(johnwick.io)監測到成人娛樂系統spankchain支付通道(payment channel)關聯的智能合約LedgerChannel遭到了重入攻擊。某黑客發現了該支付通道合約的重入漏洞(Reentrancy),并于北京時間2017年10月7日上午8時許創建了惡意攻擊合約,隨后成功從該合約竊取了165.38 ETH,約合3.8萬美元價值的以太幣。[2018/10/10]
Prover引擎的潛在影響
Prover引擎可以通過驗證和可擴展的解決方案徹底改變智能合約安全性,實現安全可靠智能合約的廣泛采用。它幫助開發者避免昂貴的漏洞,使審核人員能夠專注于邏輯問題,為資助人提供識別低風險機會的方式,并建立人們對這項顛覆性技術的信任。我們設想Prover引擎作為實現一套完全由機器和數學(而不僅僅依靠易出錯的人為努力)保障的智能合約系統的第一步。智能合約生態值得擁有比目前更可靠的安全基礎,形式方法可以提供與區塊鏈本身一樣堅實的基礎。
通過將形式驗證引入區塊鏈,Prover引擎改變了我們對web3安全的看法。它提供了一個機會,讓我們不再滿足于被動應對,而是主動確保關鍵系統的正確性。Prover引擎代表著安全領域的革新,為智能合約和區塊鏈技術實現真正的企業應用之路敞開了大門。?
Tags:VERROVERPROCHACryptoVerificationCoinDROVERSMCCXF PROJECTdogechain幣市值
宋朝的大文豪蘇軾有句名言:“來而不可失者時也,蹈而不可失者機也”,這句話告訴我們時機的重要性,要想成功就得善于把握時機.
1900/1/1 0:00:00慕巖前言——— ?????????????市場瞬息多變,要想在合約市場里長久的走下去,必須要保持一個冷靜的頭腦和良好的心態,一個成功的交易者所依靠的并不是一門獨特的技術指標分析.
1900/1/1 0:00:00編譯:TechFlowRearch 作者:David 在加密世界中,GameFi正經歷低谷,人們對其關注度有所減少。然而,近期全鏈游戲的概念開始引起更多關注和討論,似乎帶來了一絲新生.
1900/1/1 0:00:00重復的行情,卻不一樣的結局,同樣的弱勢,卻截然不斷的交易,總有人笑,有人憂。同樣的學校不一樣的考分,同樣的市場不一樣的盈虧.
1900/1/1 0:00:00行情回顧 昨日下午3點22分左右給出以太411-409做多,目標看到415,晚間22點30分左右到達最高點位416,?經過一波小幅度的回調,已達到目標點位415止盈出局,完美獲利4個點.
1900/1/1 0:00:00一切事無法追求完美,唯有追求盡力而為。這樣心無壓力,出來的結果反而會更好。滴水穿石,不是力量大,而是功夫深.
1900/1/1 0:00:00