原文作者:Matthew Lee
7 月31 號,Curve 在平台表示Vyper 0.2.15 的穩定幣池由於編譯器的漏洞所以遭到攻擊。具體因為重入鎖功能的失效,所以黑客可以輕易發動重入攻擊,即允許攻擊者在單次交易中執行某些功能。而Curve 上的部分資金池又使用了舊版本的編譯器,給黑客提供了機會。
(重入攻擊是一種由於Vyper 的特性加上智能合約編寫不當導致的漏洞,之前已經多次發生,歐科雲鏈的安全團隊之前有過對此類案例的詳細分析,點擊文末左下角“閱讀原文”查看,所以本文對攻擊細節不再展示)
一級標題
圖片描述
正文
一級標題
如何從攻防兩端防範黑客進攻?
Curve 不是第一次出現被黑客攻擊的事件了,作為Defi 的頂級項目都無法免疫黑客攻擊,普通的項目方更應該在黑客攻擊端和合約防守端重視起來。
圖片描述
圖片描述
圖片描述
圖片描述
圖片來源:OKLink Onchain AML
項目方如何在防守端進行防禦呢?
針對上述事件梳理,我們發現項目方在處理此類事件的兩點問題,
一級標題
一級標題
圖片描述
圖片描述
圖片描述
圖片描述
正文
一級標題
正文
重入攻擊此類的安全事件一定還會發生,所以除了上述在攻防兩端我們需要付出的努力外,項目方需要做好應急預案,當受到黑客攻擊時能最及時的進行反應,減少項目方和用戶的損失。 Vyper 貢獻者也建議,對於Vyper 此類公共產品我們應該加強公眾激勵,尋找關鍵漏洞。 OKLink 呼籲應該儘早建立起一套安全響應標準,讓黑/灰地址的資金追踪變得更加容易。
正如OKLink 產品在此類事件中的攻防兩端起到防範黑客和追查資金的作用,項目方在搭建平台的安全模塊時應考慮第三方技術服務商可以帶來的額外價值,更快更好的築起項目的安全堡壘。
歐科雲鏈的Raymond Lei 和Mengxuan Ren 對此文亦有幫助。
