เมื่อเร็วๆ นี้ Curve ซึ่งเป็นโปรโตคอลสกุลเงินที่มีความเสถียรสูง ถูกโจมตีโดยการโจมตีซ้ำ ทำให้เกิดการสูญเสียร้ายแรง ต่อไปนี้คือการวิเคราะห์ความปลอดภัยของ MetaTrust Labs และคำแนะนำด้านความปลอดภัยสำหรับการโจมตีครั้งนี้

การทบทวนเหตุการณ์

ตาม Twitter อย่างเป็นทางการของ Curve Finance เมื่อวันที่ 31 กรกฎาคม 2023 พูลที่เสถียรบางแห่ง (alETH/msETH/pETH) ที่เขียนโดยใช้ Vyper เวอร์ชัน 0.2.15 อาจถูกโจมตีซ้ำ Curve Finance ระบุว่าการโจมตีมีสาเหตุมาจากการล็อคการกลับเข้าใหม่ที่ผิดปกติใน Vyper เวอร์ชัน 0.2.15 และได้รับผลกระทบเฉพาะพูลที่ใช้ ETH ล้วนๆ เท่านั้น ขณะนี้ Curve กำลังประเมินความเสียหายและแหล่งน้ำอื่นๆ ปลอดภัย

จากการวิเคราะห์ของ MetaTrust Labs ช่องโหว่ดังกล่าวเกิดขึ้นระหว่างเดือนสิงหาคมถึงตุลาคม 2021 สาเหตุหลักมาจากคอมไพเลอร์เวอร์ชัน 0.2.15/0.2.16/0.3.0 ของ Vyper สาเหตุของช่องโหว่คือตรรกะการกลับเข้าซ้ำในโค้ดไบต์ที่สร้างขึ้นไม่ควรมีผลเนื่องจากข้อบกพร่องในคอมไพเลอร์

ตามสถิติของห่วงโซ่ เหตุการณ์การแฮ็กพูลเหรียญ stablecoin ของ Curve Finance ทำให้เกิดการสูญเสียสะสม 52 ล้านดอลลาร์สหรัฐในพูล Alchemix, JPEG'd, CRV/ETH เป็นต้น โทเค็น CRV ของ Curve Finance ก็ได้รับผลกระทบอย่างหนักเช่นกัน โดยลดลงมากกว่า 15% ในวันนี้

การวิเคราะห์สาเหตุ

เหตุผลที่ Curve Finance ถูกโจมตีในครั้งนี้ก็คือเมื่อ Curve ใช้ภาษา Vyper ในการเขียนสัญญาอัจฉริยะ มันใช้ Vyper เวอร์ชัน 0.2.15 มีช่องโหว่ในเวอร์ชันนี้เรียกว่าการล็อคการกลับเข้าทำงานที่ชำรุด (การล็อคการกลับเข้าใหม่ล้มเหลว) การเอารัดเอาเปรียบเปิดตัว การโจมตีซ้ำเพื่อสร้างความสูญเสีย ช่องโหว่ของ Curve Finance ในครั้งนี้คือช่องโหว่เฉพาะภาษา

ช่องโหว่เฉพาะภาษาหมายถึงช่องโหว่ที่เกิดจากข้อบกพร่องหรือความไม่เข้ากันในภาษาโปรแกรมบางภาษาหรือคอมไพเลอร์เอง ช่องโหว่ดังกล่าวมักจะค้นหาและป้องกันได้ยาก เนื่องจากไม่ได้เกิดจากความประมาทเลินเล่อของนักพัฒนาหรือข้อผิดพลาดทางตรรกะ แต่เกิดจากปัญหากับแพลตฟอร์มเทคโนโลยีพื้นฐาน ช่องโหว่ประเภทนี้มีแนวโน้มที่จะส่งผลกระทบต่อโครงการหรือสัญญาหลายรายการ เนื่องจากช่องโหว่เหล่านี้ทั้งหมดใช้ภาษาหรือคอมไพเลอร์เดียวกัน

Vyper เป็นภาษาการเขียนโปรแกรมสัญญาอัจฉริยะที่ใช้ Python ซึ่งได้รับการออกแบบมาเพื่อความปลอดภัยและความสามารถในการอ่านที่ดียิ่งขึ้น Vyper อ้างว่าเป็นภาษา ปลอดภัยไว้ก่อน และไม่รองรับฟีเจอร์บางอย่างที่อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย เช่น คลาส การสืบทอด ตัวดัดแปลง แอสเซมบลีแบบอินไลน์ ฯลฯ อย่างไรก็ตาม Vyper ยังไม่สมบูรณ์แบบและยังมีข้อบกพร่องหรือช่องโหว่ที่อาจส่งผลต่อความปลอดภัยของสัญญา ตัวอย่างเช่น นอกเหนือจากความล้มเหลวในการล็อกผู้เข้าซ้ำที่ Curve Finance พบในครั้งนี้ Vyper ยังประสบปัญหาต่างๆ เช่น อาร์เรย์อยู่นอกขอบเขต จำนวนเต็มล้น และข้อผิดพลาดในการเข้าถึงพื้นที่จัดเก็บข้อมูล

มาตรการรักษาความปลอดภัย

สำหรับการโจมตีกลับเข้าใหม่ของ Curve Finance ในครั้งนี้ ได้มีการดำเนินหรือเสนอมาตรการตอบโต้บางอย่างแล้ว ต่อไปนี้เป็นมาตรการตอบโต้ด้านความปลอดภัยที่คุณสามารถทำได้:

• การถอนสภาพคล่อง: สำหรับพูลที่ได้รับผลกระทบ ผู้ใช้สามารถเลือกที่จะถอนสภาพคล่องเพื่อหลีกเลี่ยงการสูญเสียเพิ่มเติม Curve Finance ได้จัดให้มีปุ่มถอนสภาพคล่องบนเว็บไซต์อย่างเป็นทางการ ซึ่งสะดวกสำหรับผู้ใช้ในการดำเนินการ

• อัปเกรดคอมไพลเลอร์: สำหรับสัญญาที่ใช้คอมไพเลอร์ Vyper 0.2.15/0.2.16/0.3.0 ขอแนะนำให้อัปเกรดเป็นเวอร์ชัน Vyper 0.3.1 ล่าสุด ซึ่งได้แก้ไขปัญหาความล้มเหลวในการล็อกซ้ำแล้ว ในเวลาเดียวกันขอแนะนำให้ใช้เครื่องมือหรือวิธีการอื่นๆ เพื่อตรวจสอบความปลอดภัยของสัญญา เช่น การตรวจสอบอย่างเป็นทางการ การตรวจสอบรหัส เป็นต้น

• สรุป

สรุป

เหตุการณ์การกลับคืนสู่สภาพเดิมของ Curve Finance เป็นเหตุการณ์ด้านความปลอดภัยที่โชคร้ายและเป็นบทเรียนที่กระตุ้นให้คิด ในด้านการเงินแบบกระจายอำนาจ (DeFi) ความปลอดภัยเป็นสิ่งสำคัญที่สุดเสมอ ฝ่ายโครงการควรปรับปรุงการรับรู้และความสามารถด้านความปลอดภัยอย่างต่อเนื่อง รายละเอียดใด ๆ อาจกลายเป็นความก้าวหน้าสำหรับผู้โจมตีในการใช้ประโยชน์

Follow Us

Twitter: @MetaTrustLabs

Website: metatrust.io