作者:MetaTrustLabs
在Web3领域,重入漏洞导致了大规模黑客攻击和巨额财务损失,智能合约安全性逐渐面临严峻挑战。由MetaTrustLabs推出的Prover引擎正在引发一场新的安全革命,该引擎也是第一个通过形式验证证明智能合约防重入安全性的解决方案,并提供数学保证。
智能合约安全现状
由于其自治性和不可撤销性,智能合约容易出现安全问题。重入攻击是其中最具毁灭性且可预防的漏洞之一,导致价值数百万美元的黑客攻击。现有解决方案如人工审核、静态分析和模糊测试缺乏数学严密性和可扩展性。它们难以赢得开发者的信任,无法解决此关键问题。
Amber Group:Mai Finance金库曾存在严重重入漏洞,项目方已部署新预言机合约:金色财经报道,Amber Group发文称,其区块链安全团队于10月18日在零利率贷款协议Mai Finance的两个金库(SCSEMVT和YCSEMVT)中发现一个严重重入漏洞。该漏洞将允许攻击者操纵抵押品价格,从池中借入所有资金并提走资金。
Amber Group在10月19日联系QiDao团队后,QiDao在10月20日提出解决方案并部署一个新的预言机合约。[2022/12/21 21:57:13]
一个形式验证的解决方案:Prover引擎
Gnosis Chain硬分叉成功执行,已升级容易受到重入攻击的代币合约:4月20日消息,Gnosis Chain硬分叉已成功执行,此次硬分叉更新了桥接代币,旨在升级容易受到重入攻击(reentrancyattack)的代币合约(Agave和Pored Finance等)。
此前报道,3月16日Gnosis Chain上Hundred Finance与Agave遭遇闪电贷攻击,损失超1100万美元。[2022/4/20 14:36:20]
Prover引擎使用形式方法证明重入安全性,并提供数学证明。它让开发者、审核人员和资助人确信,如果一份合约被证明安全,则肯定不存在重入漏洞。我们在合约层面上定义重入安全性,而不是在追踪层面上定义。如果在任何方法执行期间可能发生的任何潜在的重入调用不会危及状态一致性,则该合约是重入安全的。具体来说,在调用之前修改但在调用之后使用的状态变量不存在。Prover引擎将一份合约分解为每个都只包含一个外部调用的片段。它对每个片段中的状态变量变化进行建模,并检查状态一致性,可扩展到追踪分析难以完成的复杂合约。通过结合所有片段的结果,Prover引擎证明整个合约的重入安全性。此保证在数学上是严格的。开发者可以放心发布,项目方也可以安全使用由Prover引擎证明重入安全的合约。
黑客利用重入漏洞攻击Paraluni,获利逾170万美元,约1/3已流入Tornado:今日8时04分(HKT),BSC链上的元宇宙金融项目Paraluni遭受黑客攻击,黑客获利逾170万美元。据欧科云链链上天眼初步分析:
1、攻击者资金来自PancakeSwap的闪电贷;
2、问题出在项目方MasterCheif合约的depositByAddLiquidity方法,该方法未校验代币数组参数address memory _tokens是否和pid参数指向的LP相吻合,在涉及到LP数额变化时,也未加重入锁。
目前黑客在BSC链上的地址「0x94bc」的账户余额为3000.01 BNB(约112.58万美元),另有235.45 ETH(约60.86万美元)通过cBridge跨链到了ETH网络「0x94bc」。其中约1/3被盗资金(230 ETH)已流入Tornado Cash。
该事件提醒我们,在涉及到金额变动的合约方法中,一定要关注重入漏洞,尽量使用重入锁modifier。
链上天眼团队已对相关地址进行了监控,并将进一步跟进事件进展。[2022/3/13 13:54:09]
Prover引擎的潜在影响
Prover引擎可以通过验证和可扩展的解决方案彻底改变智能合约安全性,实现安全可靠智能合约的广泛采用。它帮助开发者避免昂贵的漏洞,使审核人员能够专注于逻辑问题,为资助人提供识别低风险机会的方式,并建立人们对这项颠覆性技术的信任。我们设想Prover引擎作为实现一套完全由机器和数学(而不仅仅依靠易出错的人为努力)保障的智能合约系统的第一步。智能合约生态值得拥有比目前更可靠的安全基础,形式方法可以提供与区块链本身一样坚实的基础。
通过将形式验证引入区块链,Prover引擎改变了我们对web3安全的看法。它提供了一个机会,让我们不再满足于被动应对,而是主动确保关键系统的正确性。Prover引擎代表着安全领域的革新,为智能合约和区块链技术实现真正的企业应用之路敞开了大门。?
标签:PROVERROVERANCDragonfly ProtocolHedge Tech GovernanceDROVERS价格Defilancer token
尊敬的GALAXY+银河交易所用户:将于2020年10月16日同时开启RFB、CSA、FGO挖矿。用户在GALAXY+平台的账户资产达到最低持币数,即可参与挖矿,获得每曰持币和推广挖矿收益.
1900/1/1 0:00:00作为人,水是饱满的,文字仍是柔软,如果你不了解我的方式,不要打问我的成绩,故事我有,就是费酒,长夜漫漫,无心睡眠,南来北往,不辜负生活,不迷失方向,笑而不答是成长,痛而不语是历练.
1900/1/1 0:00:00黄金、白银周一走势分析: 距离美国大选还有7个交易日,而行情反复的横盘震荡,到目前还没有选择出市场的方向。上一期的美国大选,市场本预计希拉里当选,但懂王实现反超.
1900/1/1 0:00:00王明军,男,中共党员,重庆市丰都县人,MBA导师、教授,享有"中国鬼才"之美誉。图:自由经济学家王明军王明军曾任浙江大学教授,是互联网金融与电子商务领域的自由经济学家,中国消费创富理论和社群经济.
1900/1/1 0:00:00文章不具有及时性仅供参考,每日分析币圈主流币种比特币,以太坊,莱特币,等产品技术分析连载,文章原创首发,思路清晰,欢迎对比参考,更多产品思路可关注笔者.
1900/1/1 0:00:00行情回顾今天凌晨4点30分左右给出以太412-409做多,目标看到416-418,直到午间11点30分左右到达最高点位416,已达到目标点位416止盈出局,完美获利4个点,利润再次送给大家.
1900/1/1 0:00:00
月亮链