近日来,DeFi因最近对几个关键平台的一系列袭击而陷入困境,专业统计数字共失窃约7 000万美元。
其中包括从Curve Finance、贷款协议、Alchemix、利润平台Pendle和合成资产工具Metronome的盗窃,以及分散的NFT协议JPEG。
曲线金融(Curve Finance)是最常见和最有影响力的分散交易所之一,它侧重于稳定货币和其他低挥发资产。 作为维佩尔语用户,曲线金融(Curve Finance)已知曾遭到袭击,在若干稳定货币库中损失了约2 500万美元。
具体而言,7月30日,发现智能合同编程语言Vyper的部分版本存在严重缺陷,其结果是包括CurveFinance在内的重要项目遭到袭击,损失了数千万美元,这次袭击警醒了对智能合同的安全。
造成这一差距的原因是,Vyper语版本0.2.15和0.3之间的重新锁定机制失败。对于块链项目来说,重新进入攻击(ReentrancyAtttack)是智能合同领域的一个常见缺陷,这意味着在执行一项职能期间,同一合同的其他职能可以再次调用合同功能,如果合同结构不完善,则可能被用于恶意行动,如重复撤回。
例如,假设智能合同规定了存款和提款功能,撤回职能的逻辑是首先扣除用户的余额,然后将提款金额转给用户,用户如果是恶意合同,在收到转账时可以再次调用提款功能,因为合同没有更新当时用户的余额,因此可以重复提款,以便银行合同中的所有资金都能够转移。
值得一提的是,Curve并非第一次被黑客击中,在Defi的顶级项目中,没有一个项目能免受黑客袭击,而普通项目应该更加关注黑客端和合同防御端。
所以项目方对袭击结束能做些什么呢? OKLink团队建议项目方通过链条标签系统提前识别有黑色历史的钱包,防止异常行为地址的交互作用。 库夫的一位袭击者记录了OKLink的不良记录,他的行为有些不正常。
项目方如何在防御端自卫?像重新攻击这样的安全事件必须再次发生,因此,除了我们需要在进攻的两端作出努力之外,项目方需要做好准备,在黑客入侵、减少项目方和用户的损失的情况下,以最及时的方式作出反应。
维佩尔(Vyper)的撰稿人也建议,我们应该增加对维佩尔(Vyper)公共产品的公共激励,并寻找关键漏洞。 OKLink呼吁制定一套早期安全应对标准,以便更容易追踪黑/黑地址的资金。
正如在此类事件两端预防OKLink产品是防止黑客入侵和财务跟踪的屏障一样,项目方应当考虑到第三方技术服务供应商在建立平台安全模块时能够带来的附加值,并更快地更好地建设项目的安全堡垒。
总的来说,Ocowin链等安保公司的出现代表了连锁安全行业,为执法机构提供了许多基于情报的案件侦查服务和新技术犯罪全过程解决办法的工具,据认为,Ocowin链等企业今后还将为链提供安全保障,使技术赋权行业健康发展。
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
发表评论