7 月31 日凌晨,Curve Finance 官方宣布由於Vyper 部分版本出現故障,許多使用Vyper 0.2.15 版本的穩定幣池(alETH/msETH/pETH) 遭到不同程度的攻擊。其中CRV/ETH 池在幾分鐘內就被盜空了,攻擊事件導致Curve 約損失4200 萬美元。這一攻擊事件發生的背後,Vyper 語言是否存在漏洞?攻擊事故的發生會否給智能合約審計、DeFi 市場情緒、投資者信心等帶來打擊與震動?
7 月31 日凌晨,Curve Finance 官方宣布由於Vyper 部分版本出現故障,許多使用Vyper 0.2.15 版本的穩定幣池(alETH/msETH/pETH) 遭到不同程度的攻擊。其中CRV/ETH 池在幾分鐘內就被盜空了,攻擊事件導致Curve 約損失4200 萬美元。這一攻擊事件發生的背後,Vyper 語言是否存在漏洞?攻擊事故的發生會否給智能合約審計、DeFi 市場情緒、投資者信心等帶來打擊與震動?面對這一系列的話題,我們依舊需要探尋鏈上世界運行安全性與可持續性之間的平衡路徑與應對策略,更好地共建DeFi 生態,第25 期TinTinWeekly 活動交出了這些問題的答卷。
精彩觀點
- Vyper 存在技術漏洞——0day 漏洞,引爆Curve 穩定幣池攻擊事件
- Curve 穩定幣池遭攻擊,或帶來用戶流失、投資積極性下降等影響
- DeFi 項目設計初期應將安全性作為首要考慮因素,提高應對風險能力
多重因素造成Curve
穩定幣池遭受攻擊
自Curve 穩定幣池遭到攻擊後,各路專業人士開始對本次事件進行事故原因的分析,綜合直播間嘉賓老師們的看法,不外乎從技術、業務、市場等幾個方面進行的探索和思考。當我們面臨此類事故時,只有尋其根本才能找到對症下藥的良方。
重入鎖失效成技術層面主要原因
Curve 攻擊事件涉及的範圍之廣,究其根本是智能合約基礎設施Vyper 的0.2.15、0.2.16、0.3.0 版本存在重入鎖設計的不合理。 Adam 老師犀利地指出,“Vyper 三個版本里重入鎖失效的技術漏洞引起了本場事故。漏洞顯現後,很多白帽子、灰帽子紛紛加入測試,造成多個項目受到類似攻擊。” 而Vyper存在的技術漏洞其實是很典型的0day 漏洞(指未被公開的安全漏洞,發現這種漏洞的行為被稱為漏洞挖掘),這種漏洞可能是由黑客團體挖漏洞發起攻擊造成事故,也可能是線技術人員遇到漏洞卻沒有及時察覺。當前,許多開發團隊在進行Vyper 語言的開發中,產出了類似Vyper 的智能合約,碰巧測試功能用例時與重入鎖的邏輯重合(存在漏洞的板塊),發現了0day 漏洞後作出了攻擊性行為。
Curve 自身機制助推攻擊事故發生
除了技術層面的硬性影響因素以外,Curve 自身的機制特點也為本次事故推波助瀾。 “Curve 自身的不可升級性導致其流動性池的遷移成本非常高昂、程序也異常繁瑣,面對風險並沒有及時可供應對的緊急策略機制,這可能直接導致了本次攻擊事件的爆發”, Bruce 老師認為Curve 作為相對成熟的項目卻沒有應對風險的緊急策略機制,這對任何事故的防禦來說都是非常不利的。
而站在市場環境的角度來看,Curve 自身要承載著用戶將海量資金沉澱在鏈上的技術承諾,這種高度集中資產的匯聚地必然會引來部分黑客產生攻擊的慾望。面對採用的Vyper 語言,相關審計公司的審計能力也相對不足,這種安全性保障的缺失,讓Curve 也極有可能一觸即潰。
動搖DeFi 生態,
更應看到積極信號
毋庸置疑的是,Curve 穩定幣池遭攻擊這一事件的發生,必然會對整個DeFi 生態帶來不小的衝擊,尤其對用戶、投資者、開發人士等投入DeFi 生態的信心與熱情帶來消極影響。然而事有兩面,面對DeFi 生態可能產生的動盪,我們或許更應該看到從中釋放的積極信號。
用戶重創效應明顯,市場投資熱情下降
“事實上,Curve 穩定幣池遭攻擊這一事件的發生,是我們非常不願意看到的”,Bruce 老師在面對Curve 遭受攻擊事件時表現得有些沮喪。在他看來,Curve 吸納了一個很大的TVL 在裡面(即Curve 的流動性極強),能提供比較穩定的收益來源,一旦出現系統性崩潰,就有可能對鏈上資金的安全性帶來衝擊,用戶很難在短時間內找到一個與Curve 量級媲美的協議去存放自己的資金,如此對DeFi 生態的運作帶來非常重大的影響。如果這個收益來源在一段時間內都無法修復,那麼就會帶來用戶流失,他們可能會去轉投CeFi(中心化金融項目),畢竟相較之下CeFi 不太會有那麼嚴重的安全問題。
對於市場情緒層面來說,用戶、社區開發者等都會將Curve 事件的崩潰與創始人清算問題聯繫起來。大家非常擔心市場流動性不足,導致Curve 創始清算CRV 價格的飛速下跌。資金效益的流失最能觸動市場情緒,也是Curve 遭攻擊事件帶來的直接影響。對此,Loopy 老師也表示認同,並補充道,“在DeFi 生態裡有這樣的一種邏輯:一個平台運行地越久,它的TVL 值就越高,我們更可能認為其是一個更加安全的平台,以此提升了平台的知名度和影響力。而像Curve 就是DeFi 生態里處於第一梯隊的安全平台,所以客戶經歷了攻擊事件後,Curve 的TVL 值直接腰斬,這對DeFi 用戶的信任度和信心值都是一種’致命打擊’”。這種影響或許會直接導致DeFi 在吸引資金方面落後於整個市場,對投資者來說也需要很長一段時間才能重新建立起對DeFi 的熱情和積極性。
注重技術解決方案,尋找重振行業方向
Curve 穩定幣池遭攻擊事件已然發生,與其一昧苛責種種因素與主體,不如尋找新的啟示與改進方向。在Steven 老師看來,本次事件對用戶和開發者的信心產生不小影響,後續可能仍然需要全新的行業敘事和創新才能挽救DeFi 生態,重塑Curve 的影響力。具體到實際方案中來說,開發者團隊可以更加註重修補技術漏洞細節、完善底層基礎設施、加強去中心化監管……這都是可以重振開發者、投資者信心的現實舉措。
“面對Curve 事件的影響,啟示開發團隊要在去中心化服務器建設中加入重計算、重安全的技術應用手段。不斷加強DeFi 平台的安全性,才能獲得更多的項目發展空間”,Kartin 老師補充建議道。
提高DeFi 安全性:
Vyper 重入鎖失效的啟示
Vyper 編程語言遞歸鎖失效(重入鎖失效)導致本次技術漏洞,必然引起了開發者和項目方的重視。事實上,重入鎖漏洞很常見且不斷在發生,而常見問題的不斷發生也反映了開發者和項目方對智能合約本身的安全性重視度不夠,忽視了安全風險問題。當前,區塊鏈金融安全問題頻現,也從側面展現了大眾對鏈上資產安全方面的技術素養和知識積累比較匱乏。
對此,Adam 老師認為,作為一個完全去中心化項目,Curve 等DeFi 項目需要在一開始的設計中就把安全性作為首要考慮因素,不斷提高安全性和應對風險能力。對任何DeFi 項目而言,光有審計是不夠的,應該要建立一個貫穿事前到事后防患於未然的應急響應機制,一旦發現任何問題要能夠及時止損,比如凍結資金、追討賬戶等舉措。這是Curve 穩定幣池遭攻擊後,由Vyper 重入鎖失效這一技術層面的分析帶給我們的啟示和思考,“我們看到DeFi 項目的安全問題時,應該採取一個更加立體化的視角,從不同主體去思考優化解決的方案。”
平衡DeFi 效率與準確性:
堅持三重路徑
完善技術安全性是重新挽回DeFi 生態口碑的第一步,那麼更好平衡DeFi 效率與準確性則是發揮DeFi 生態影響力的第二步。面對類似的攻擊事件,DeFi 項目需要在智能合約代碼審計方面繼續提高效率和準確性。 Adam 老師從自動化引擎、漏洞披露機制、團隊水平提升三個方面給出如下建議:
Curve 穩定幣池遭攻擊事件本身或許不能夠完全顛覆DeFi 生態的運作節奏,但也足以成為DeFi 賽道的開發者、用戶、投資者進行深入學習和思考的範本。未來我們依舊需要尋找提升DeFi 生態安全性與持續性發展的技術工具和運作方式,推動DeFi 生態繁榮成長。
第三,提升團隊業務能力和水平。 DeFi 項目的風險雖有技術層面的原因,但更多來自於業務層面。所以代碼審計這一塊需要審計工程師、審計專家提高業務水平和技能素養,發現更多不確定性的風險。
第二,搭建漏洞的發現和披露機制。 Curve 事件提示項目團隊需要提高漏洞挖掘能力,包括在生態裡提出一些賞金機制,讓0day 漏洞的發掘和利用更多地集中於想要做好事的安全研究員身上。
第一,引入動態掃描機制工具。自動化引擎的加入能夠提升防禦攻擊的能力,還能夠提高掃描的準確性,並實現不斷升級和再造。
提升團隊業務能力,更好地推動DeFi 生態繁榮發展
展開全文打開碳鏈價值APP 查看更多精彩資訊
