作者:MetaTrustLabs
在Web3領域,重入漏洞導致了大規模黑客攻擊和巨額財務損失,智能合約安全性逐漸面臨嚴峻挑戰。由MetaTrustLabs推出的Prover引擎正在引發一場新的安全革命,該引擎也是第一個通過形式驗證證明智能合約防重入安全性的解決方案,并提供數學保證。
智能合約安全現狀
由于其自治性和不可撤銷性,智能合約容易出現安全問題。重入攻擊是其中最具毀滅性且可預防的漏洞之一,導致價值數百萬美元的黑客攻擊。現有解決方案如人工審核、靜態分析和模糊測試缺乏數學嚴密性和可擴展性。它們難以贏得開發者的信任,無法解決此關鍵問題。
PeckShield:基于Aave的Earning Farm協議遭受重入攻擊,已損失至少28.7萬美元:金色財經報道,區塊鏈安全公司 PeckShield 發布推文稱,Aave 協議的 Earning Farm 已受到重入攻擊,導致至少價值 287,000 美元的以太坊被盜。
目前尚不清楚此次攻擊是否與 Curve Finance 資金池的漏洞有關。7 月 30 日,DeFi 協議的穩定池也遭受了重入攻擊,損失超過 6100 萬美元。Curve 黑客攻擊是由影響 Vyper 編程語言三個版本的漏洞導致的,Vyper 編程語言是 DeFi 協議開發人員廣泛使用的通用合約語言。
Earning Farm 旨在成為以太坊、wBTC和 USDC 持有者的用戶友好協議,其網站稱,安全公司 Slowmist 審核了其區塊鏈合約。[2023/8/10 16:16:23]
一個形式驗證的解決方案:Prover引擎
Origin稱OUSD黑客攻擊主要由合約中重入漏洞引發:去中心化共享經濟協議OriginProtocol(OGN)聯合創始人MatthewLiu更新關于“穩定幣OUSD遭受攻擊”一事稱,“團隊在采取措施以追回資金,包括與交易所以及其他第三方合作,以識別出黑客地址,并對資金進行凍結。黑客同時使用TornadoCash和renBTC來進行洗錢和轉移資金,目前,黑客錢包中還有7137枚ETH和224.9萬枚DAI。此次攻擊是由合約中的一個重入漏洞(reentrancybug)引發。團隊將在未來幾天內采取措施,試圖彌補用戶資金,還將討論OUSD持有者的補償計劃。”據此前報道,OUSD因此次攻擊事件造成700萬美元損失。Origin提醒稱,“目前已禁用了vault存款,請不要在Uniswap或Sushiswap上購買OUSD。”[2020/11/17 21:03:47]
Prover引擎使用形式方法證明重入安全性,并提供數學證明。它讓開發者、審核人員和資助人確信,如果一份合約被證明安全,則肯定不存在重入漏洞。我們在合約層面上定義重入安全性,而不是在追蹤層面上定義。如果在任何方法執行期間可能發生的任何潛在的重入調用不會危及狀態一致性,則該合約是重入安全的。具體來說,在調用之前修改但在調用之后使用的狀態變量不存在。Prover引擎將一份合約分解為每個都只包含一個外部調用的片段。它對每個片段中的狀態變量變化進行建模,并檢查狀態一致性,可擴展到追蹤分析難以完成的復雜合約。通過結合所有片段的結果,Prover引擎證明整個合約的重入安全性。此保證在數學上是嚴格的。開發者可以放心發布,項目方也可以安全使用由Prover引擎證明重入安全的合約。
康奈爾大學教授:近期針對Lendf.Me的攻擊與當年The DAO的重入Bug類似:AVA Labs聯合創始人,康奈爾大學教授Emin Gün Sirer在社交媒體平臺上表示,近期黑客從去中心化借貸協議Lendf.Me的Dapp中盜走約2500萬美金的代幣,出現的問題與當年The DAO的重入Bug類似。對此Sirer教授強調,此類問題對于以太坊來說是地方性的,而對于 Dapp,難以確定以不透明字節碼表示的資產是否遭受重入。因此,加密資產應以能夠防范重入的方式進行部署。在AVA的設計中資產是第一類對象(First Class Object),資產的行為由系統設定,不需要通過代碼分析來確定發送一筆資產是否會導致 Dapp 的資產被抽走。[2020/4/20]
Prover引擎的潛在影響
Prover引擎可以通過驗證和可擴展的解決方案徹底改變智能合約安全性,實現安全可靠智能合約的廣泛采用。它幫助開發者避免昂貴的漏洞,使審核人員能夠專注于邏輯問題,為資助人提供識別低風險機會的方式,并建立人們對這項顛覆性技術的信任。我們設想Prover引擎作為實現一套完全由機器和數學(而不僅僅依靠易出錯的人為努力)保障的智能合約系統的第一步。智能合約生態值得擁有比目前更可靠的安全基礎,形式方法可以提供與區塊鏈本身一樣堅實的基礎。
通過將形式驗證引入區塊鏈,Prover引擎改變了我們對web3安全的看法。它提供了一個機會,讓我們不再滿足于被動應對,而是主動確保關鍵系統的正確性。Prover引擎代表著安全領域的革新,為智能合約和區塊鏈技術實現真正的企業應用之路敞開了大門。?
Tags:PROROVERVERUSDArkania ProtocolTaroverse GoldUniversal PickleKXUSD
馬來西亞證券委員會公告稱,已對HuobiGlobalLimited及其首席執行官LeonLi采取行動,指控其在馬來西亞未經注冊經營數字資產交易所.
1900/1/1 0:00:00前言: 還很年輕,將來會遇到很多人,經歷很多事,得到得多,也失去很多,但無論如何,有兩樣東西,絕對不能丟棄,一個叫良心,一個叫理想.
1900/1/1 0:00:00出來社會打拼了幾年時間,銭沒掙到,倒是欠了網貸二十多萬。愧對家人,愧對自己。這都是碰上了那個賽車游戲而導致的。我會接觸到這個是因為有好幾個同事都在玩,我因為好奇也參與了進去.
1900/1/1 0:00:00BTC晚間行情分析: 比特幣四小時級別來看價格保持高位震蕩,受阻13020一線未能有效突破,布林帶呈張口向上運行,價格于中軌上方運行。5日均線粘合10日均線運行.
1900/1/1 0:00:00期點通平臺怎么樣,線上發揮品牌優勢期點通平臺怎么樣,線上發揮品牌優勢期點通app正規嗎詞匯背后有時代烙印。生存于這個時代,往往感受不到時代背景的存在,因為已經習慣了.
1900/1/1 0:00:00成功不一定有捷徑,但一定有方法。我們不要當別人奇跡的聽眾,而是自己行動起來,做奇跡的創造者。機遇總是垂青于有準備的人,奇跡常常發生在有眼光的人身上。千里馬常有,而伯樂不常有。選擇很重要.
1900/1/1 0:00:00