Gần đây, Curve, một giao thức tiền tệ siêu ổn định, đã bị tấn công reentrancy tấn công, gây thiệt hại nghiêm trọng. Sau đây là phân tích bảo mật và khuyến nghị bảo mật của MetaTrust Labs cho cuộc tấn công này.

đánh giá sự kiện

Theo Twitter chính thức của Curve Finance, vào ngày 31 tháng 7 năm 2023, một số nhóm ổn định (alETH/msETH/pETH) được viết bằng Vyper phiên bản 0.2.15 đã bị tấn công lại. Curve Finance tuyên bố rằng cuộc tấn công là do lỗi khóa đăng nhập lại bị trục trặc trong phiên bản Vyper 0.2.15 và chỉ bị ảnh hưởng bởi các nhóm sử dụng ETH thuần túy. Hiện tại, Curve đang đánh giá thiệt hại và các nhóm khác đều an toàn.

Theo phân tích của MetaTrust Labs, lỗ hổng này xuất hiện từ tháng 8 đến tháng 10 năm 2021, chủ yếu là do trình biên dịch phiên bản 0.2.15/0.2.16/0.3.0 của Vyper. Lý do cho lỗ hổng này là logic quay lại trong mã byte được tạo sẽ không có hiệu lực do lỗi trong trình biên dịch.

Theo thống kê trên chuỗi, sự cố hack nhóm stablecoin Curve Finance đã gây ra khoản lỗ lũy kế 52 triệu đô la Mỹ trong các nhóm Alchemix, JPEG'd, CRV/ETH, v.v. Token CRV của Curve Finance cũng bị ảnh hưởng nặng nề, giảm hơn 15% trong ngày.

Phân tích nguyên nhân

Nguyên nhân Curve Finance bị tấn công lần này là do khi Curve sử dụng ngôn ngữ Vyper để viết hợp đồng thông minh, nó đã sử dụng Vyper phiên bản 0.2.15, trong phiên bản này có một lỗ hổng gọi là trục trặc khóa reentrancy (lỗi khóa reentrancy). một cuộc tấn công reentrancy để gây ra tổn thất. Lỗ hổng của Curve Finance lần này là lỗ hổng dành riêng cho Ngôn ngữ.

Các lỗ hổng dành riêng cho ngôn ngữ đề cập đến các lỗ hổng gây ra bởi khiếm khuyết hoặc sự không tương thích trong chính ngôn ngữ lập trình hoặc trình biên dịch nhất định. Những lỗ hổng như vậy thường khó tìm và ngăn chặn, vì chúng không phải do sơ suất hay lỗi logic của nhà phát triển mà do vấn đề với nền tảng công nghệ cơ bản. Những loại lỗ hổng này cũng có xu hướng ảnh hưởng đến nhiều dự án hoặc hợp đồng vì chúng đều sử dụng cùng một ngôn ngữ hoặc trình biên dịch.

Vyper là ngôn ngữ lập trình hợp đồng thông minh dựa trên Python được thiết kế để bảo mật và dễ đọc hơn. Vyper tuyên bố là ngôn ngữ an toàn là trên hết và không hỗ trợ một số tính năng có thể gây ra rủi ro bảo mật, chẳng hạn như các lớp, kế thừa, sửa đổi, lắp ráp nội tuyến, v.v. Tuy nhiên, Vyper không hoàn hảo và vẫn còn một số lỗi hoặc sơ hở có thể ảnh hưởng đến tính bảo mật của hợp đồng. Ví dụ: ngoài lỗi khóa đăng nhập lại mà Curve Finance gặp phải lần này, Vyper còn gặp phải các vấn đề như vượt quá giới hạn mảng, tràn số nguyên và lỗi truy cập bộ nhớ.

biện pháp an ninh

Đối với cuộc tấn công quay trở lại của Curve Finance lần này, một số biện pháp đối phó đã được thực hiện hoặc đề xuất. Dưới đây là một số biện pháp đối phó bảo mật bạn có thể thực hiện:

• Rút thanh khoản: Đối với các nhóm bị ảnh hưởng, người dùng có thể chọn rút thanh khoản để tránh tổn thất thêm. Curve Finance đã cung cấp nút rút thanh khoản trên trang web chính thức của mình, thuận tiện cho người dùng thao tác.

• Nâng cấp trình biên dịch: Đối với các hợp đồng sử dụng trình biên dịch Vyper 0.2.15/0.2.16/0.3.0, nên nâng cấp lên phiên bản Vyper 0.3.1 mới nhất, phiên bản này đã khắc phục được sự cố lỗi khóa thử lại. Đồng thời, cũng nên sử dụng các công cụ hoặc phương pháp khác để xác minh tính bảo mật của hợp đồng, chẳng hạn như xác minh chính thức, kiểm tra mã, v.v.

• Tóm tắt

Tóm tắt

Sự cố quay trở lại Curve Finance là một sự cố bảo mật đáng tiếc và là một bài học đáng suy ngẫm. Trong lĩnh vực tài chính phi tập trung (DeFi), bảo mật luôn được đặt lên hàng đầu, các bên tham gia dự án cần không ngừng nâng cao nhận thức và năng lực về bảo mật, bất kỳ chi tiết nào cũng có thể trở thành đột phá để kẻ tấn công khai thác.

Follow Us

Twitter: @MetaTrustLabs

Website: metatrust.io