近日,去中心化金融(DeFi)因最近几个关键平台遭受的一系列攻击而陷入困境,有专业人士统计,总计约 7000 万美元被盗。

其中,包括来自Curve Finance的盗窃、借贷协议 Alchemix、收益平台 Pendle 和合成资产工具 Metronome 以及去中心化 NFT 协议 JPEG 也都受到了打击。

以CurveFinance为例,它是最常用、最有影响力的去中心化交易所之一,专注于稳定币和其他低波动性资产的交易。据悉,CurveFinance作为Vyper语言的使用者,其多个稳定币池遭到攻击并损失了约2500万美元。

具体来看,7月30日,智能合约编程语言Vyper的部分版本被发现存在严重漏洞,包括CurveFinance在内的重要项目因此遭受了攻击,损失数千万美元,此次攻击事件为智能合约的安全性敲响了警钟。

本次漏洞源于Vyper语言版本0.2.15至0.3.0之间的重入锁机制失效。对于区块链项目来说,重入攻击(ReentrancyAttack)是智能合约领域的一个常见漏洞。它指的是合约函数可以在一个函数执行过程中,被同一合约的其他函数再次调用,如果合约逻辑不严密,就可能被利用进行重复提取资金等恶意操作。

举例来说,假设有一个智能合约提供了存款和取款的功能,取款函数的逻辑是先将用户的余额减去取款金额,然后将取款金额转给用户,如果用户是一个恶意合约,它可以在接收到转账时,再次调用取款函数,因为此时合约还没有更新用户的余额,所以可以重复取款,这样就可以将银行合约中的资金全部转走。

值得一提的是,Curve 不是第一次出现被黑客攻击的事件了,作为 Defi 的顶级项目都无法免疫黑客攻击,普通的项目方更应该在黑客攻击端和合约防守端重视起来。

那么针对进攻端,项目方可以做哪些准备呢?OKLink 团队推荐项目方通过链上标签系统提前辨别有黑历史的钱包,阻止有过异常行为地址的交互。此次Curve 的其中一个攻击者的地址就有过不良记录曾被 OKLink 记录,其行为模式也一定程度上超出常理,有三日交易笔数过百。

项目方又如何在防守端进行防御呢?重入攻击此类的安全事件一定还会发生,所以除了上述在攻防两端我们需要付出的努力外,项目方需要做好应急预案,当受到黑客攻击时能最及时的进行反应,减少项目方和用户的损失。

Vyper贡献者也建议,对于 Vyper 此类公共产品我们应该加强公众激励,寻找关键漏洞。OKLink呼吁应该尽早建立起一套安全响应标准,让黑/灰地址的资金追踪变得更加容易。

正如 OKLink 产品在此类事件中的攻防两端起到防范黑客和追查资金的作用,项目方在搭建平台的安全模块时应考虑第三方技术服务商可以带来的额外价值,更快更好的筑起项目的安全堡垒。

总的来说,欧科云链等安全公司的出现,代表区块链安全行业为执法机构提供了数智化侦破案件服务工具和应对新型技术犯罪的全流程的解决方案,相信未来,欧科云链等企业还将以技术赋能行业健康发展,为链上安全保驾护航。