LINK:Curve深陷安全事件 如何建立防范黑客和追查资金的“攻防机制”?_INK

7月31号，Curve 在平台表示 Vyper 0.2.15 的稳定币池由于编译器的漏洞所以遭到攻击。具体因为重入锁功能的失效，所以黑客可以轻易发动重入攻击，即允许攻击者在单次交易中执行某些功能。

7月31号，Curve 在平台表示 Vyper 0.2.15 的稳定币池由于编译器的漏洞所以遭到攻击。具体因为重入锁功能的失效，所以黑客可以轻易发动重入攻击，即允许攻击者在单次交易中执行某些功能。而Curve上的部分资金池又使用了旧版本的编译器，给黑客提供了机会。

（重入攻击是一种由于 Vyper 的特性加上智能合约编写不当导致的漏洞，之前已经多次发生，欧科云链的安全团队之前有过对此类案例的详细分析，点击文末左下角“阅读原文”查看，所以本文对攻击细节不再展示)

紧接着其他多个项目都宣布遭受到了攻击，NFT 质押协议 JPEG’d，借贷项目 AlchemixFi 和 DeFi 协议 MetronomeDAO，跨链桥 deBridge、采用 Curve 机制的 DEX Ellipsis等都分别遭受巨额损失。

加密分析师：Curve创始人或正以0.4美元均价进行CRV场外交易:8月1日消息，加密分析师dollar.eth在社交媒体发文表示，Curve Finance创始人Michael Egorov到目前为止已从Fraxlend还款并取回了750万枚CRV，并将其发送到一个新的EOA钱包地址，然后从未知地址中接收USDT，因此可能是一笔场外交易，按照250万枚CRV/100万USDT计算，场外价格应该是0.4美元。[2023/8/1 16:11:14]

然而在7月30号，一些项目方已经知道了潜在的攻击威胁。以 Alchemix 为例，在30号就已经开始转出资产，而且已经成功的转出 8000ETH，但是在转移资产的过程中，依然被攻击者盗取在 AMO 合约的剩余 5000ETH。

Securitize在西班牙发行代币化资产，计划9月开始交易:金色财经报道，数字资产交易平台Securitize已开始对西班牙房地产投资信托公司Mancipi Partners的股权进行代币化。该公司预计于9月份在Avalanche区块链上推出二级交易。Securitize计划在欧洲证券市场管理局监管的欧盟分布式账本技术试点制度下进行首次本地代币化股票发行，试点制度于三月份推出。

该公司将在西班牙国家证券市场委员会的监管下经历为期六个月的沙盒期。此外，它还必须获得试点制度下的监管批准，以允许其在西班牙和整个欧盟发行、管理和交易代币化证券。[2023/7/27 16:02:23]

图片来源：OKLink Explorer

TUSD上线Curve Metapool提案正在投票中，目前投票支持率100%:据悉，Curve DAO自治社区sCIP#29号提案正在投票中，本次提案内容为倡议向Curve Metapool中加入高度透明的稳定币TUSD，而TUSD此前已上线Curve y池。目前投票支持率100%，共计121万veCRV参与锁仓投票，社区支持情绪高涨。TUSD是一个1：1锚定法币且高度透明的美元稳定币项目。为确保其美元储备与代币流通量比例达到1:1，TUSD与全美最大的会计公司之一Armanino进行实时审计合作，用户可随时通过TUSD官网在线访问审计结果。详情见原文链接。[2021/2/9 19:18:45]

其他项目方也相继采取了一些措施，如 AAVE 禁止 Curve 进行借贷；Alchemix 也从曲线池中移除 AMO 控制的流动性；Metronome 直接暂停主网功能。

新德里比特币交易所Coinsecure营销负责人阿曼·卡拉表示：政府不应将比特币交易认定为“庞氏局”:新德里比特币交易所Coinsecure营销负责人阿曼·卡拉（Aman Kalra）表示，“我认为政府不应该将我们的业务认定为‘庞氏局’，我们没有做任何违法的事情。”Coinbase每周每周会交易150个比特币，拥有10万注册用户。[2018/1/20]

Curve 不是第一次出现被黑客攻击的事件了，作为 Defi 的顶级项目都无法免疫黑客攻击，普通的项目方更应该在黑客攻击端和合约防守端重视起来。

那么针对进攻端，项目方可以做哪些准备呢？

OKLink 团队推荐项目方通过链上标签系统提前辨别有黑历史的钱包，阻止有过异常行为地址的交互。Curve 的其中一个攻击者的地址就有过不良记录曾被 OKLink 记录，如下图所示：

图片来源：OKLink Chaintelligence Pro其行为模式也一定程度上超出常理，如下图所示，有三日交易笔数过百。

图片来源：OKLink Onchain AML项目方如何在防守端进行防御呢？

针对上述事件梳理，我们发现项目方在处理此类事件的两点问题，

1. 维护工作不到位。大部分项目非常注重代码的编写和审核，但是维护工作一直没受到重视，Vyper 编译器的这个漏洞是两年前被发现的，但受攻击的池子还是采用的旧版编译器。

2. 代码测试场景过于单一。很多测试代码起不到真正的测试问题的作用，应增加模糊测试等更复杂的测试手段，且应该在黑客攻击途径，攻击复杂度，机密性，完整性等多个维度进行测试的工作。

现实中，大部分被盗资金都难以追回。下图是黑客转出资金去向，可以看到被盗 ETH 没有对外转出动作，地址也没有和实体机构相关联。

图片来源：OKLink Chaintelligence Pro有一部分地址和实体机构有关联的，如地址0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324 (已归还2,879.54 ETH)，类似地址有关联实体机构的，我们可以通过报警和实体机构协商的办法追回资金。

图片来源：OKLink Chaintelligence Pro针对此次事件的正确做法是通过 OKLink 或者其他技术服务商的预警和跟踪功能，等待沉淀地址的后续的资金动向，在进一步实施行动。但是，最好的方法是行业团结一致制定基于安全事件的响应机制，可以对有异常行为进行更好的打击。

重入攻击此类的安全事件一定还会发生，所以除了上述在攻防两端我们需要付出的努力外，项目方需要做好应急预案，当受到黑客攻击时能最及时的进行反应，减少项目方和用户的损失。Vyper贡献者也建议，对于 Vyper 此类公共产品我们应该加强公众激励，寻找关键漏洞。OKLink呼吁应该尽早建立起一套安全响应标准，让黑/灰地址的资金追踪变得更加容易。

正如 OKLink 产品在此类事件中的攻防两端起到防范黑客和追查资金的作用，项目方在搭建平台的安全模块时应考虑第三方技术服务商可以带来的额外价值，更快更好的筑起项目的安全堡垒。

欧科云链的 Raymond Lei 和 Mengxuan Ren 对此文亦有帮助。

欧科云链

企业专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

标签：CURCurveLINKINKLP-sCurvetronlink怎么充值StarLink

比特币行情热门资讯