- Topik
3k Popularitas
5k Popularitas
33k Popularitas
30k Popularitas
496 Popularitas
94k Popularitas
27k Popularitas
26k Popularitas
7k Popularitas
14k Popularitas
- Sematkan
3k Popularitas
5k Popularitas
33k Popularitas
30k Popularitas
496 Popularitas
94k Popularitas
27k Popularitas
26k Popularitas
7k Popularitas
14k Popularitas
Curve sangat terlibat dalam insiden keamanan, bagaimana cara membuat "mekanisme ofensif dan defensif" untuk mencegah peretas dan melacak dana?
Diproduksi|Okey Cloud Chain Research Institute
Penulis|****MatthewLee
Pada 31 Juli, Curve menyatakan di platform bahwa kumpulan stablecoin Vyper 0.2.15 diserang karena kerentanan dalam kompiler. Secara khusus, karena pembatalan fungsi kunci entri ulang, peretas dapat dengan mudah meluncurkan serangan entri ulang, yaitu, memungkinkan penyerang melakukan fungsi tertentu dalam satu transaksi. Beberapa kumpulan dana di Curve menggunakan kompiler versi lama, yang memberikan peluang bagi peretas.
(Serangan re-entrancy adalah sejenis kerentanan yang disebabkan oleh karakteristik Vyper dan penulisan kontrak pintar yang tidak tepat. Itu telah terjadi berkali-kali sebelumnya. Tim keamanan Okey Cloud Chain telah membuat analisis mendetail tentang kasus semacam itu sebelumnya. Klik " Baca teks aslinya" untuk melihat, jadi artikel ini tidak akan menampilkan detail serangannya)
Segera setelah itu, banyak proyek lain mengumumkan bahwa mereka telah diserang.Protokol janji NFT JPEG'd, proyek peminjaman AlchemixFi dan protokol DeFi MetronomeDAO, deBridge cross-chain bridge, dan DEX Ellipsis menggunakan mekanisme Curve semuanya menderita kerugian besar .
Namun, pada 30 Juli, beberapa pihak proyek sudah mengetahui potensi ancaman serangan. Mengambil Alchemix sebagai contoh, aset telah ditransfer keluar pada tanggal 30, dan 8000ETH telah berhasil ditransfer.Namun, dalam proses transfer aset, sisa 5000ETH dalam kontrak AMO masih dicuri oleh penyerang.
Sumber gambar: OKLink Explorer
Pihak proyek lain juga telah mengambil beberapa langkah, seperti AAVE melarang Curve dari pinjaman; Alchemix juga menghapus likuiditas yang dikendalikan oleh AMO dari kumpulan kurva; Metronom langsung menangguhkan fungsi mainnet.
Bagaimana cara mencegah serangan peretas dari tujuan ofensif dan defensif**? **
Ini bukan pertama kalinya Curve diretas. Sebagai proyek Defi teratas, tidak kebal terhadap serangan peretas. Pihak proyek biasa harus lebih memperhatikan serangan peretas dan pertahanan kontrak.
**Jadi untuk akhir ofensif, persiapan apa yang dapat dilakukan oleh pihak proyek? **
Tim OKLink merekomendasikan pihak proyek** untuk mengidentifikasi dompet dengan riwayat hitam terlebih dahulu melalui sistem pelabelan on-chain** untuk mencegah interaksi dengan alamat dengan perilaku abnormal. Salah satu alamat penyerang Curve memiliki catatan buruk dan direkam oleh OKLink, seperti yang ditunjukkan pada gambar di bawah ini:
Sumber gambar: OKLink Chainelligence Pro
Pola perilakunya juga di luar akal sehat sampai batas tertentu, seperti terlihat pada gambar di bawah ini, ada tiga hari dengan lebih dari seratus transaksi.
Sumber gambar: OKLink Onchain AML
**Bagaimana pihak proyek bertahan di ujung pertahanan? **
Berdasarkan analisis insiden di atas, kami menemukan bahwa pihak proyek memiliki dua masalah dalam menangani insiden tersebut.
1. Pekerjaan pemeliharaan tidak dilakukan. Sebagian besar proyek memberi perhatian besar pada penulisan kode dan audit, tetapi pekerjaan pemeliharaan belum ditanggapi dengan serius.Kerentanan dalam kompiler Vyper ini ditemukan dua tahun lalu, tetapi kumpulan yang diserang masih menggunakan kompiler versi lama.
2. Skenario pengujian kode terlalu tunggal. Banyak kode pengujian tidak dapat benar-benar menguji masalah, metode pengujian yang lebih kompleks seperti pengujian fuzz harus ditambahkan, dan pengujian harus dilakukan dalam berbagai dimensi seperti jalur serangan peretas, kompleksitas serangan, kerahasiaan, dan integritas.
Bagaimana memulihkan dana yang dicuri?
Pada kenyataannya, sebagian besar dana yang dicuri sulit untuk dipulihkan. Gambar di bawah menunjukkan keberadaan dana yang ditransfer oleh peretas, terlihat bahwa ETH yang dicuri belum ditransfer keluar, dan alamatnya belum dikaitkan dengan suatu entitas.
Sumber gambar: OKLink Chainelligence Pro
Beberapa alamat dikaitkan dengan entitas, seperti alamat 0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324 (2.879,54 ETH telah dikembalikan), dan alamat serupa dikaitkan dengan entitas, kami dapat memulihkan dana dengan menelepon polisi dan bernegosiasi dengan entitas.
Sumber gambar: OKLink Chainelligence Pro
Cara yang tepat untuk menangani kejadian ini adalah dengan menggunakan fungsi peringatan dini dan pelacakan dari OKLink atau penyedia layanan teknis lainnya, menunggu pergerakan dana selanjutnya dari alamat curah hujan, dan mengambil tindakan lebih lanjut. Namun, cara terbaik bagi industri adalah bekerja sama untuk mengembangkan mekanisme respons berdasarkan insiden keamanan, yang dapat menindak perilaku abnormal dengan lebih baik.
Peringatan untuk kami
Insiden keamanan seperti serangan re-entrancy pasti akan terjadi, jadi selain upaya yang disebutkan di atas yang perlu kita lakukan di kedua sisi penyerangan dan pertahanan, pihak proyek perlu membuat rencana darurat untuk merespons dengan maksimal tepat waktu ketika peretas menyerang, untuk mengurangi kerugian pihak proyek dan pengguna. Kontributor Vyper juga menyarankan bahwa untuk produk publik seperti Vyper, kita harus memperkuat insentif publik untuk menemukan celah kunci. OKLink meminta serangkaian standar respons keamanan untuk ditetapkan sesegera mungkin agar lebih mudah melacak dana dari alamat hitam/abu-abu.
Sama seperti produk OKLink yang berperan dalam mencegah peretas dan melacak dana pada ujung serangan dan pertahanan dari insiden semacam itu, pihak proyek harus mempertimbangkan nilai tambahan yang dapat dibawa oleh penyedia layanan teknis pihak ketiga saat membangun modul keamanan platform, lebih cepat dan lebih baik Bangun benteng keamanan untuk proyek tersebut.
*Raymond Lei dan Mengxuan Ren dari Okey Cloud Chain juga berkontribusi pada artikel ini. *