في الآونة الأخيرة ، تعرض Curve ، وهو بروتوكول عملة فائق الاستقرار ، لهجوم عودة الدخول ، مما تسبب في خسائر فادحة. فيما يلي تحليل أمان MetaTrust Labs وتوصيات الأمان لهذا الهجوم.
مراجعة الحدث
وفقًا لتويتر الرسمي لشركة Curve Finance ، في 31 يوليو 2023 ، تعرضت بعض المجموعات الثابتة (alETH / msETH / pETH) المكتوبة باستخدام الإصدار 0.2.15 من Vyper لهجوم إعادة الدخول. صرحت شركة Curve Finance بأن الهجوم نتج عن خلل في أقفال إعادة الدخول في الإصدار 0.2.15 من Vyper وأثرت فقط على التجمعات التي تستخدم ETH الخالص. حاليًا ، تقوم Curve بتقييم الضرر وتكون حمامات السباحة الأخرى آمنة.
وفقًا لتحليل MetaTrust Labs ، تم تقديم الثغرة الأمنية بين أغسطس وأكتوبر 2021 ، ويرجع ذلك أساسًا إلى الإصدار 0.2.15 / 0.2.16 / 0.3.0 من Vyper. سبب الثغرة الأمنية هو أن منطق إعادة الدخول في الرمز الثانوي الذي تم إنشاؤه يجب ألا يصبح ساري المفعول بسبب خطأ في المترجم.
وفقًا للإحصاءات الموجودة على السلسلة ، تسبب حادث اختراق تجمع العملات المستقرة في Curve Finance في خسارة تراكمية قدرها 52 مليون دولار أمريكي في مجمعات Alchemix و JPEG'd و CRV / ETH وما إلى ذلك. كما تضرر رمز CRV المميز لشركة Curve Finance بشدة ، بانخفاض أكثر من 15٪ خلال اليوم.
تحليل السبب
سبب الهجوم على Curve Finance هذه المرة هو أنه عندما استخدم Curve لغة Vyper لكتابة العقود الذكية ، استخدم الإصدار 0.2.15 من Vyper. هناك ثغرة أمنية في هذا الإصدار تسمى خلل في إعادة الدخول (فشل إعادة الدخول). هجوم إعادة الدخول لإحداث خسائر. إن الثغرة الأمنية في Curve Finance هذه المرة هي ثغرة أمنية خاصة بلغة معينة.
تشير الثغرات الأمنية الخاصة بلغة معينة إلى الثغرات التي تسببها عيوب أو عدم توافق في لغة برمجة معينة أو المترجم نفسه. غالبًا ما يكون من الصعب العثور على مثل هذه الثغرات الأمنية ومنعها ، لأنها ليست ناتجة عن إهمال المطور أو أخطاء منطقية ، ولكن بسبب مشاكل في النظام الأساسي للتكنولوجيا الأساسية. تميل هذه الأنواع من الثغرات أيضًا إلى التأثير على مشاريع أو عقود متعددة لأنها تستخدم جميعًا نفس اللغة أو المترجم.
Vyper هي لغة برمجة عقد ذكية قائمة على Python مصممة لمزيد من الأمان وسهولة القراءة. تدعي Vyper أنها لغة "الأمان أولاً" ولا تدعم بعض الميزات التي قد تسبب مخاطر أمنية ، مثل الفئات ، والميراث ، والمعدلات ، والتجميع المضمّن ، وما إلى ذلك. ومع ذلك ، فإن Vyper ليست مثالية ، ولا تزال بها بعض الأخطاء أو الثغرات التي قد تؤثر على أمان العقد. على سبيل المثال ، بالإضافة إلى فشل قفل إعادة الدخول الذي واجهته Curve Finance هذه المرة ، واجه Vyper أيضًا مشكلات مثل المصفوفة خارج الحدود ، تجاوز عدد صحيح ، وأخطاء الوصول إلى التخزين.
تدابير أمنية
بالنسبة لهجوم إعادة الدخول لـ Curve Finance هذه المرة ، تم اتخاذ بعض الإجراءات المضادة أو اقتراحها. فيما يلي بعض الإجراءات الأمنية المضادة التي يمكنك اتخاذها:
سحب السيولة: بالنسبة للتجمعات المتأثرة ، يمكن للمستخدمين اختيار سحب السيولة لتجنب المزيد من الخسائر. قدمت كيرف فاينانس زرًا لسحب السيولة على موقعها الرسمي على الإنترنت ، وهو أمر مناسب للمستخدمين للعمل.
ترقية المترجم: بالنسبة للعقود التي تستخدم برنامج التحويل البرمجي Vyper 0.2.15 / 0.2.16 / 0.3.0 ، يوصى بالترقية إلى أحدث إصدار من Vyper 0.3.1 ، والذي حل مشكلة فشل قفل إعادة الدخول. في الوقت نفسه ، يوصى أيضًا باستخدام أدوات أو طرق أخرى للتحقق من أمان العقد ، مثل التحقق الرسمي وتدقيق الكود وما إلى ذلك.
كن يقظًا: بالنسبة للعقود المكتوبة بلغة Vyper أو لغات أخرى ، يوصى باليقظة والانتباه إلى تحديثات اللغة أو المترجم وإصلاح الأخطاء واتخاذ التدابير اللازمة في الوقت المناسب لحماية أصولك. في الوقت نفسه ، يوصى أيضًا أنه عند استخدام لغة جديدة أو تقنية جديدة ، قم بتقييم نضجها واستقرارها بعناية ، وتجنب السعي الأعمى للنضارة أو الكفاءة.
لخص
كانت حادثة عودة Curve Finance حادثًا أمنيًا مؤسفًا ودرسًا مثيرًا للتفكير. في مجال التمويل اللامركزي (DeFi) ، دائمًا ما يكون الأمان هو الأولوية القصوى.يجب على أطراف المشروع تحسين وعيهم وقدراتهم الأمنية باستمرار. قد تصبح أي تفاصيل اختراقًا يستغلها المهاجمون.
تابعنا
تويتر:MetaTrustLabs
الموقع: metatrust.io
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
ابتلع الثقب الأسود: ضعف فيبر يجعل المنحنى ينقلب بقوة
في الآونة الأخيرة ، تعرض Curve ، وهو بروتوكول عملة فائق الاستقرار ، لهجوم عودة الدخول ، مما تسبب في خسائر فادحة. فيما يلي تحليل أمان MetaTrust Labs وتوصيات الأمان لهذا الهجوم.
مراجعة الحدث
وفقًا لتويتر الرسمي لشركة Curve Finance ، في 31 يوليو 2023 ، تعرضت بعض المجموعات الثابتة (alETH / msETH / pETH) المكتوبة باستخدام الإصدار 0.2.15 من Vyper لهجوم إعادة الدخول. صرحت شركة Curve Finance بأن الهجوم نتج عن خلل في أقفال إعادة الدخول في الإصدار 0.2.15 من Vyper وأثرت فقط على التجمعات التي تستخدم ETH الخالص. حاليًا ، تقوم Curve بتقييم الضرر وتكون حمامات السباحة الأخرى آمنة.
وفقًا لتحليل MetaTrust Labs ، تم تقديم الثغرة الأمنية بين أغسطس وأكتوبر 2021 ، ويرجع ذلك أساسًا إلى الإصدار 0.2.15 / 0.2.16 / 0.3.0 من Vyper. سبب الثغرة الأمنية هو أن منطق إعادة الدخول في الرمز الثانوي الذي تم إنشاؤه يجب ألا يصبح ساري المفعول بسبب خطأ في المترجم.
وفقًا للإحصاءات الموجودة على السلسلة ، تسبب حادث اختراق تجمع العملات المستقرة في Curve Finance في خسارة تراكمية قدرها 52 مليون دولار أمريكي في مجمعات Alchemix و JPEG'd و CRV / ETH وما إلى ذلك. كما تضرر رمز CRV المميز لشركة Curve Finance بشدة ، بانخفاض أكثر من 15٪ خلال اليوم.
تحليل السبب
سبب الهجوم على Curve Finance هذه المرة هو أنه عندما استخدم Curve لغة Vyper لكتابة العقود الذكية ، استخدم الإصدار 0.2.15 من Vyper. هناك ثغرة أمنية في هذا الإصدار تسمى خلل في إعادة الدخول (فشل إعادة الدخول). هجوم إعادة الدخول لإحداث خسائر. إن الثغرة الأمنية في Curve Finance هذه المرة هي ثغرة أمنية خاصة بلغة معينة.
تشير الثغرات الأمنية الخاصة بلغة معينة إلى الثغرات التي تسببها عيوب أو عدم توافق في لغة برمجة معينة أو المترجم نفسه. غالبًا ما يكون من الصعب العثور على مثل هذه الثغرات الأمنية ومنعها ، لأنها ليست ناتجة عن إهمال المطور أو أخطاء منطقية ، ولكن بسبب مشاكل في النظام الأساسي للتكنولوجيا الأساسية. تميل هذه الأنواع من الثغرات أيضًا إلى التأثير على مشاريع أو عقود متعددة لأنها تستخدم جميعًا نفس اللغة أو المترجم.
Vyper هي لغة برمجة عقد ذكية قائمة على Python مصممة لمزيد من الأمان وسهولة القراءة. تدعي Vyper أنها لغة "الأمان أولاً" ولا تدعم بعض الميزات التي قد تسبب مخاطر أمنية ، مثل الفئات ، والميراث ، والمعدلات ، والتجميع المضمّن ، وما إلى ذلك. ومع ذلك ، فإن Vyper ليست مثالية ، ولا تزال بها بعض الأخطاء أو الثغرات التي قد تؤثر على أمان العقد. على سبيل المثال ، بالإضافة إلى فشل قفل إعادة الدخول الذي واجهته Curve Finance هذه المرة ، واجه Vyper أيضًا مشكلات مثل المصفوفة خارج الحدود ، تجاوز عدد صحيح ، وأخطاء الوصول إلى التخزين.
تدابير أمنية
بالنسبة لهجوم إعادة الدخول لـ Curve Finance هذه المرة ، تم اتخاذ بعض الإجراءات المضادة أو اقتراحها. فيما يلي بعض الإجراءات الأمنية المضادة التي يمكنك اتخاذها:
لخص
كانت حادثة عودة Curve Finance حادثًا أمنيًا مؤسفًا ودرسًا مثيرًا للتفكير. في مجال التمويل اللامركزي (DeFi) ، دائمًا ما يكون الأمان هو الأولوية القصوى.يجب على أطراف المشروع تحسين وعيهم وقدراتهم الأمنية باستمرار. قد تصبح أي تفاصيل اختراقًا يستغلها المهاجمون.
تابعنا
تويتر:MetaTrustLabs
الموقع: metatrust.io