Curve глубоко вовлечена в инциденты безопасности, как создать «наступательный и защитный механизм» для предотвращения хакеров и отслеживания средств?

Произведено｜Исследовательским институтом цепочки облачных вычислений OKey

Автор｜****МэттьюЛи

31 июля Curve заявил на платформе, что пул стейблкоинов Vyper 0.2.15 подвергся атаке из-за уязвимости в компиляторе. В частности, из-за аннулирования функции блокировки повторного входа хакеры могут легко запускать повторные атаки, то есть позволять злоумышленникам выполнять определенные функции в одной транзакции. Некоторые пулы на Curve используют старую версию компилятора, которая предоставляет возможности для хакеров.

(Атака с повторным входом — это своего рода уязвимость, вызванная характеристиками Vyper и неправильным написанием смарт-контрактов. Это уже случалось много раз. Команда безопасности Okey Cloud Chain ранее проводила подробный анализ таких случаев. Нажмите " Читайте исходный текст" для просмотра, поэтому в этой статье не будут показаны подробности атаки)

Сразу после этого многие другие проекты объявили об атаках: протокол залога NFT JPEG'd, кредитный проект AlchemixFi и протокол DeFi MetronomeDAO, межсетевой мост deBridge и DEX Ellipsis, использующий механизм Curve, понесли огромные потери. .


Однако 30 июля некоторые участники проекта уже знали о потенциальной угрозе атаки. Взяв, к примеру, Alchemix, активы были выведены 30-го числа, и 8000 ETH были успешно выведены, однако в процессе передачи активов оставшиеся 5000 ETH в контракте AMO все же были украдены злоумышленником.


Источник изображения: OKLink Explorer

Другие участники проекта также приняли некоторые меры, например, AAVE запретил Curve кредитовать; Alchemix также удалила ликвидность, контролируемую AMO, из пула кривой; Metronome напрямую приостановила работу основной сети.

Как предотвратить хакерские атаки как с наступательной, так и с оборонительной стороны**? **

Это не первый случай взлома Curve.Как топовый проект Defi, он не застрахован от хакерских атак.Обычные участники проекта должны уделять больше внимания хакерским атакам и защите контрактов.

** Итак, какие приготовления может предпринять проектная группа для наступления? **

Команда OKLink рекомендует участникам проекта** заранее идентифицировать кошельки с черной историей через систему маркировки в цепочке**, чтобы предотвратить взаимодействие с адресами с ненормальным поведением. Один из адресов злоумышленника Curve имел плохую запись и был записан OKLink, как показано на рисунке ниже:


Источник изображения: OKLink Chainelligence Pro

Его модель поведения также в определенной степени выходит за рамки здравого смысла, как показано на рисунке ниже, есть три дня с более чем сотней транзакций.


Источник изображения: OKLink Onchain AML

**Как проектная сторона защищается на стороне защиты? **

Основываясь на анализе вышеперечисленных инцидентов, мы обнаружили, что у проектной стороны есть две проблемы при решении таких инцидентов.

1. Работы по техническому обслуживанию не проводятся. Большинство проектов уделяют большое внимание написанию кода и его аудиту, но к работам по техническому обслуживанию не относятся серьезно: эта уязвимость в компиляторе Vyper была обнаружена два года назад, но атакуемый пул до сих пор использует старую версию компилятора.

2. Сценарий проверки кода слишком один. Многие тестовые коды не могут на самом деле проверить проблему.Должны быть добавлены более сложные методы тестирования, такие как нечеткое тестирование, и тестирование должно проводиться в нескольких измерениях, таких как путь хакерской атаки, сложность атаки, конфиденциальность и целостность.

Как вернуть украденные средства?

На самом деле большую часть украденных средств трудно вернуть. На рисунке ниже показано местонахождение средств, переведенных хакером, видно, что украденный ETH не был выведен, а адрес не был связан с какой-либо сущностью.


Источник изображения: OKLink Chainelligence Pro

Некоторые адреса связаны с сущностями, например адрес 0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324 (было возвращено 2879,54 ETH), и аналогичные адреса связаны с сущностями, мы можем вернуть средства, позвонив в полицию и договорившись с сущностями.


Источник изображения: OKLink Chainelligence Pro

Правильный способ справиться с этим инцидентом — использовать функции раннего предупреждения и отслеживания OKLink или других поставщиков технических услуг, дождаться последующего движения средств по адресу выпадения осадков и предпринять дальнейшие действия. Тем не менее, лучший способ для отрасли — это совместная работа над разработкой механизма реагирования на инциденты безопасности, который может лучше бороться с ненормальным поведением.

Предупреждение

Инциденты безопасности, такие как атаки с повторным входом, обязательно будут иметь место, поэтому в дополнение к вышеупомянутым усилиям, которые мы должны предпринять как для нападения, так и для защиты, участники проекта должны составить планы действий в чрезвычайных ситуациях, чтобы реагировать максимально быстро. своевременным образом, когда хакеры атакуют, чтобы уменьшить потери участников проекта и пользователей. Участники Vyper также предположили, что для общедоступных продуктов, таких как Vyper, мы должны усилить общественные стимулы, чтобы найти ключевые лазейки. OKLink призывает как можно скорее установить набор стандартов безопасности, чтобы упростить отслеживание средств с черных/серых адресов.

Точно так же, как продукты OKLink играют роль в предотвращении хакеров и отслеживании средств в наступательных и оборонительных целях таких инцидентов, проектная сторона должна учитывать дополнительную ценность, которую сторонние поставщики технических услуг могут принести при более быстром создании модуля безопасности платформы. и лучше Постройте крепость безопасности для проекта.

*Раймонд Лей и Мэнсюан Рен из Okey Cloud Chain также участвовали в написании этой статьи. *