近日,超級穩定幣協議Curve 受到重入攻擊,造成嚴重損失。以下是MetaTrust Labs 對本次攻擊事件的安全分析及安全建議。
事件回顧
根據Curve Finance 的官方推特,在2023 年7 月31 日,一些使用Vyper 0.2.15 版本編寫的穩定池(alETH/msETH/pETH)受到了重入攻擊。 Curve Finance 表示,該攻擊是由於Vyper 0.2.15 版本存在重入鎖故障(malfunctioning reentrancy locks)導致的,而且只影響了使用純ETH 的池子。目前,Curve 正在評估損失情況,其他池子是安全的。
據MetaTrust Labs 的分析,該漏洞是在2021 年8 月至10 月期間引入的,主要由於Vyper 的0.2.15/0.2.16/0.3.0 版本編譯器引起的。漏洞原因是由於編譯器bug 導致生成的字節碼中本該重入保護的方法,重入邏輯不生效導致。
原因分析
原因分析
Curve Finance 這次被攻擊的原因是,Curve 在使用了Vyper 這個語言寫智能合約時,使用了Vyper 0.2.15 版本,該版本上有一個漏洞是malfunctioning reentrancy locks(重入鎖故障),被攻擊者利用發起了重入攻擊造成損失。 Curve Finance 這次的漏洞是一個Language Specific 的漏洞。
Language Specific 的漏洞指的是由於某種編程語言或者編譯器本身存在缺陷或者不兼容性導致的漏洞。這類漏洞往往難以發現和預防,因為它們不是由於開發者的疏忽或者邏輯錯誤造成的,而是由於底層技術平台的問題造成的。這類漏洞也往往會影響到多個項目或者合約,因為它們都使用了同樣的語言或者編譯器。
安全措施
安全措施
對於Curve Finance 這次的重入攻擊事件,目前已經有一些應對措施被採取或者提出。以下是一些可採取的安全應對措施:
移出流動性:對於受影響的池子,用戶可以選擇移出流動性,以避免進一步的損失。 Curve Finance 已經在其官網上提供了一個移出流動性的按鈕,方便用戶操作。
總結
總結
總結
Curve Finance 的重入攻擊事件是一個令人遺憾的安全事故,也是一個引人深思的教訓。在去中心化金融(DeFi)領域,安全永遠是第一要務,項目方應該不斷地提高自己的安全意識和能力,任何一個細節都可能成為攻擊者利用的突破口。
Follow Us
Twitter: @MetaTrustLabs
Website: metatrust.io
