7月31號,Curve 在平臺表示 Vyper 0.2.15 的穩定幣池由于編譯器的漏洞所以遭到攻擊。具體因為重入鎖功能的失效,所以黑客可以輕易發動重入攻擊,即允許攻擊者在單次交易中執行某些功能。
7月31號,Curve 在平臺表示 Vyper 0.2.15 的穩定幣池由于編譯器的漏洞所以遭到攻擊。具體因為重入鎖功能的失效,所以黑客可以輕易發動重入攻擊,即允許攻擊者在單次交易中執行某些功能。而Curve上的部分資金池又使用了舊版本的編譯器,給黑客提供了機會。
(重入攻擊是一種由于 Vyper 的特性加上智能合約編寫不當導致的漏洞,之前已經多次發生,歐科云鏈的安全團隊之前有過對此類案例的詳細分析,點擊文末左下角“閱讀原文”查看,所以本文對攻擊細節不再展示)
緊接著其他多個項目都宣布遭受到了攻擊,NFT 質押協議 JPEG’d,借貸項目 AlchemixFi 和 DeFi 協議 MetronomeDAO,跨鏈橋 deBridge、采用 Curve 機制的 DEX Ellipsis等都分別遭受巨額損失。
StaFi:Curve上rETH池不依賴于Vyper版本且未受影響,用戶資金安全:7月31日消息,DeFi協議StaFi發推稱,Curve上rETH池不依賴于Vyper版本且未受影響。rETH/ETH和rETH/frxETH池不受Curve事件影響。資金池不依賴于Vyper版本,用戶資金是安全的。[2023/7/31 16:09:04]
然而在7月30號,一些項目方已經知道了潛在的攻擊威脅。以 Alchemix 為例,在30號就已經開始轉出資產,而且已經成功的轉出 8000ETH,但是在轉移資產的過程中,依然被攻擊者盜取在 AMO 合約的剩余 5000ETH。
NFT分析工具Curio完成370萬美元種子輪融資,776 Management領投:6月9日消息,NFT 分析和瀏覽工具 Curio(前身為 Ikaria)宣布完成 370 萬美元種子輪融資,本輪融資由 Reddit 聯合創始人 Alexis Ohanian 旗下風投 776 Management 領投。
Curio 利用多種不同的數據源提供強大的分析工具,幫助用戶瀏覽和跟蹤 NFT 數據,比如稀缺度、地板價、平均售價、數量等。目前 Curio 已經能從 OpenSea API 和區塊鏈獲取信息,而且已經計劃近期整合 LooksRare 的數據。(TechCrunch)[2022/6/9 4:13:46]
圖片來源:OKLink Explorer
其他項目方也相繼采取了一些措施,如 AAVE 禁止 Curve 進行借貸;Alchemix 也從曲線池中移除 AMO 控制的流動性;Metronome 直接暫停主網功能。
NFT平臺Curio發布HeavyMetal??雜志官方授權NFT:NFT平臺Curio宣布發布HeavyMetal??雜志的官方授權NFT《重金屬女性收藏》(TheWomenofHeavyMetal)。Curio將于太平洋時間5月12日10:00發行該系列的10個NFT中的第一個。HeavyMetal雜志主要包括科幻小說、奇幻小說和恐怖小說,該系列NFT是為了紀念雜志歷史上開創的女性角色。(TheBlock)[2021/5/12 21:55:24]
Curve 不是第一次出現被黑客攻擊的事件了,作為 Defi 的頂級項目都無法免疫黑客攻擊,普通的項目方更應該在黑客攻擊端和合約防守端重視起來。
那么針對進攻端,項目方可以做哪些準備呢?
OKLink 團隊推薦項目方通過鏈上標簽系統提前辨別有黑歷史的錢包,阻止有過異常行為地址的交互。Curve 的其中一個攻擊者的地址就有過不良記錄曾被 OKLink 記錄,如下圖所示:
Curve官方:將對更改ren pool的參數A進行投票:據Curve官方,社區成員提出方案更改ren pool的參數,該方案計劃將參數A逐步從125提升為200,將對此方案進行投票。[2020/10/13]
圖片來源:OKLink Chaintelligence Pro其行為模式也一定程度上超出常理,如下圖所示,有三日交易筆數過百。
圖片來源:OKLink Onchain AML項目方如何在防守端進行防御呢?
針對上述事件梳理,我們發現項目方在處理此類事件的兩點問題,
1. 維護工作不到位。大部分項目非常注重代碼的編寫和審核,但是維護工作一直沒受到重視,Vyper 編譯器的這個漏洞是兩年前被發現的,但受攻擊的池子還是采用的舊版編譯器。
2. 代碼測試場景過于單一。很多測試代碼起不到真正的測試問題的作用,應增加模糊測試等更復雜的測試手段,且應該在黑客攻擊途徑,攻擊復雜度,機密性,完整性等多個維度進行測試的工作。
現實中,大部分被盜資金都難以追回。下圖是黑客轉出資金去向,可以看到被盜 ETH 沒有對外轉出動作,地址也沒有和實體機構相關聯。
圖片來源:OKLink Chaintelligence Pro有一部分地址和實體機構有關聯的,如地址0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324 (已歸還2,879.54 ETH),類似地址有關聯實體機構的,我們可以通過報警和實體機構協商的辦法追回資金。
圖片來源:OKLink Chaintelligence Pro針對此次事件的正確做法是通過 OKLink 或者其他技術服務商的預警和跟蹤功能,等待沉淀地址的后續的資金動向,在進一步實施行動。但是,最好的方法是行業團結一致制定基于安全事件的響應機制,可以對有異常行為進行更好的打擊。
重入攻擊此類的安全事件一定還會發生,所以除了上述在攻防兩端我們需要付出的努力外,項目方需要做好應急預案,當受到黑客攻擊時能最及時的進行反應,減少項目方和用戶的損失。Vyper貢獻者也建議,對于 Vyper 此類公共產品我們應該加強公眾激勵,尋找關鍵漏洞。OKLink呼吁應該盡早建立起一套安全響應標準,讓黑/灰地址的資金追蹤變得更加容易。
正如 OKLink 產品在此類事件中的攻防兩端起到防范黑客和追查資金的作用,項目方在搭建平臺的安全模塊時應考慮第三方技術服務商可以帶來的額外價值,更快更好的筑起項目的安全堡壘。
歐科云鏈的 Raymond Lei 和 Mengxuan Ren 對此文亦有幫助。
歐科云鏈
企業專欄
閱讀更多
Foresight News
金色財經 Jason.
白話區塊鏈
金色早8點
LD Capital
-R3PO
MarsBit
深潮TechFlow
作者:Climber,金色財經7月30日,智能合約編程語言 Vyper 的部分版本被發現存在嚴重漏洞,導致包括Curve Finance 在內的一些重要項目遭受攻擊.
1900/1/1 0:00:00作者:深潮 TechFlow 保潔8月2日23點,曾經被冠以“比特金萊特銀”的萊特幣(LTC)區塊高度來到2,520,000, 區塊獎勵正式減半.
1900/1/1 0:00:00日前,太陽馬戲團與元宇宙游戲開發商合作在元宇宙平臺 Roblox 上推出首個元宇宙沉浸式體驗,使世界各地的家庭能夠在舒適的家中體驗太陽馬戲團最新的當代馬戲表演 ECHO.
1900/1/1 0:00:008 月 2 日晚間 23 點,萊特幣 Litecoin(LTC)在區塊高度 2520000 上完成了第三次區塊獎勵.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:487.20億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量39.
1900/1/1 0:00:007 月 25 日晚間,zkSync 上 TVL 最高的借貸協議 EraLend 突遭黑客攻擊.
1900/1/1 0:00:00