元宇宙非小号金色财经交流群社区官网

Curve深陷安全事件,建立防范黑客和追查资金的“攻防机制”是破局关键

Time:2023-08-03 Click:119


原文作者:Matthew Lee

7 月 31 号,Curve 在平台表示 Vyper 0.2.15 的稳定币池由于编译器的漏洞所以遭到攻击。具体因为重入锁功能的失效,所以黑客可以轻易发动重入攻击,即允许攻击者在单次交易中执行某些功能。而 Curve 上的部分资金池又使用了旧版本的编译器,给黑客提供了机会。

(重入攻击是一种由于 Vyper 的特性加上智能合约编写不当导致的漏洞,之前已经多次发生,区块链的安全团队之前有过对此类案例的详细分析,点击文末左下角“阅读原文”查看,所以本文对攻击细节不再展示)

紧接着其他多个项目都宣布遭受到了攻击,NFT 质押协议 JPEG’d,借贷项目 AlchemixFi 和 DeFi 协议 MetronomeDAO,跨链桥 deBridge、采用 Curve 机制的 DEX Ellipsis 等都分别遭受巨额损失。

Curve深陷安全事件建立防范黑客和追查资金的攻防机制是破局关键

然而在 7 月 30 号,一些项目方已经知道了潜在的攻击威胁。以 Alchemix 为例,在 30 号就已经开始转出资产,而且已经成功的转出 8000 ETH,但是在转移资产的过程中,依然被攻击者盗取在 AMO 合约的剩余 5000 ETH。

Curve深陷安全事件建立防范黑客和追查资金的攻防机制是破局关键

OKLink Explorer

Metronome 直接暂停主网功能。

Defi 的顶级项目都无法免疫黑客攻击,普通的项目方更应该在黑客攻击端和合约防守端重视起来。

那么针对进攻端,项目方可以做哪些准备呢?

OKLink 团队推荐项目方通过链上标签系统提前辨别有黑历史的钱包,阻止有过异常行为地址的交互。Curve 的其中一个攻击者的地址就有过不良记录曾被 OKLink 记录,如下图所示:

Curve深陷安全事件建立防范黑客和追查资金的攻防机制是破局关键

其行为模式也一定程度上超出常理,如下图所示,有三日交易笔数过百。

Curve深陷安全事件建立防范黑客和追查资金的攻防机制是破局关键

图片来源:OKLink Chaintelligence Pro

针对此次事件的正确做法是通过 OKLink 或者其他技术服务商的预警和跟踪功能,等待沉淀地址的后续的资金动向,在进一步实施行动。但是,最好的方法是行业团结一致制定基于安全事件的响应机制,可以对有异常行为进行更好的打击。

重入攻击此类的安全事件一定还会发生,所以除了上述在攻防两端我们需要付出的努力外,项目方需要做好应急预案,当受到黑客攻击时能最及时的进行反应,减少项目方和用户的损失。Vyper 贡献者也建议,对于 Vyper 此类公共产品我们应该加强公众激励,寻找关键漏洞。OKLink 呼吁应该尽早建立起一套安全响应标准,让黑/灰地址的资金追踪变得更加容易。

正如 OKLink 产品在此类事件中的攻防两端起到防范黑客和追查资金的作用,项目方在搭建平台的安全模块时应考虑第三方技术服务商可以带来的额外价值,更快更好的筑起项目的安全堡垒。

区块链的 Raymond Lei 和 Mengxuan Ren 对此文亦有帮助。

Curve深陷安全事件建立防范黑客和追查资金的攻防机制是破局关键

标签:关键 破局 黑客 资金

  • 元宇宙治理破局的三个关键思路

    元宇宙治理破局的三个关键思路

    T:

    (一)以元宇宙应用场景建设为出发点,深入把握发展规律自元宇宙概念出现以来,各城市在元宇宙中的角力和竞争已经悄然展开。相关统计数据显示,北京今年的元宇宙商标注册量排名第一,其次是广州、深圳和上海。然而,不同城市的发展路径不同,不同的应用场景选...

  • 币安交易所在全球监管围剿之下如何破局?

    币安交易所在全球监管围剿之下如何破局?

    T:

    2021年6月,全部数字货币销售市场仍在低谷期中彷徨,一直无法寻找今年初时乘势而上的那类觉得。而针对成交量较大 的数字货币交易中心币安而言,它现阶段正遭遇着一个更高的难点,全世界好几个我国的管控组织已经对它高举着管控棒子。 ...

本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
本站内容来源于互联网,如存在侵权及违规内容投诉邮箱( [email protected] )
皮卡丘 2021-2024© YangKaTie.Com All