火星链 火星链
Ctrl+D收藏火星链
首页 > 酷币下载 > 正文

DEF:DeFi安全审计的盲区,一文了解Curve的最新安全漏洞

作者:

时间:1900/1/1 0:00:00

截至发稿时,这份报告已获得了Curve官方的认可,而作者也因此获得了漏洞奖励,目前Curve正为旧的合约池部署解决方案,而新的合约池不受此漏洞的影响。

以下是漏洞报告内容:在9月19日凌晨的几个小时,我发现了一个针对Curve合约的漏洞,当合约的放大系数A更新时,攻击者可提取大量代币余额。而使用了Curve合约的Swerve,其一度更新了它的A系数,因此用户的潜在损失是巨大的,占到了合约余额的36.9%,假设进行一次优化后的攻击,那么大约会损失9200万美元。幸运的是,Swerve更新顺利通过,没有发生意外情况。那天下午晚些时候,我通知了Curve团队。几个小时后,他们确认了漏洞的存在,我们开始一起研究解决方案。实际上,这种攻击在A向上和向下调整时都可能发生。但是,由于向下调整的潜在损失要大一个数量级,因此我们将重点讨论这类攻击。这些攻击的严重程度与A的变化幅度成正比。事实证明,代币余额份额的最大损失受如下等式的限制,其中A_old是初始参数值,A_new是更新的参数值,而n是合约中代币类型的数量。

DeFi资产管理平台Valio计划于8月7日公开发布:金色财经报道,DeFi资产管理平台Valio计划于8月7日公开发布,Valio利用加密货币透明度和自我托管的固有优势,定位为“连接交易者与资本的人才发现市场”,着手从潜在投资者和资产管理者的角度解决问题。该平台上的投资者可以在以去信任的方式将资金分配给交易员,而交易者可以访问LayerZero支持的区块链,以制定灵活的策略,其中包括长尾加密资产、衍生品以及dapp。首次推出门控后,白名单经理将可以通过Valio的金库系统通过Arbitrum上的GMX和Optimism上的0x进行交易。用户将通过 LayerZero 的跨链消息协议管理自己的头寸。[2023/7/25 15:56:05]

利用漏洞造成的损失,取决于参数A的百分比变化例如,yCurve合约的更新,发生在同一周的早些时候。该合约有n=4个代币类型,更新从A_old=2000更改为A_new=1000。使用方程1中的公式,攻击者可利用该漏洞提取高达12.9%的yCurve合约余额。这种攻击只可能在预定的参数A更新过程中进行。Curve合约在正常操作下不易受到攻击,因此,没有必要采取紧急行动来保护用户资金。但是,在发生其它关于A的更改之前修补此漏洞是至关重要的。Curve团队正在对更新A的程序进行改进,这些改进应允许Curve合约以安全的方式继续更新参数A。平均数和代币联合曲线

DeFi收益聚合器Portals完成200万美元种子轮融资:金色财经报道,DeFi收益聚合器Portals在官方推特宣布完成200万美元种子轮融资,Lightshift Capital 领投,Poolside、Basement Labs、LongHash Ventures、Daedalus Angels、Mechanism Capital 和 0xMaki、Mathieu Baril、Owl.eth、Emile Dubie、Rudy Kadoch、David Dias 等参投,所筹资金将用于产品升级。[2023/5/4 14:41:16]

为了理解攻击,我们有必要了解下代币联合曲线。我将解释一些概念,以便读者能够形成一个概念性的理解。我对这一主题采用了一种稍有不同的方法,重点是代币联合曲线与一组变量平均值之间的关系。在数学中,平均数是表示一组数据集中趋势的量数。因此,如果x_1是n个数集合中最小的数,x_n是最大的数,则这个集合的平均数将呈现为介于x_1和x_n之间的中间值。两种最常见的平均数类型是算术平均数和几何平均数。

算术平均数

全网 DeFi 抵押借贷 24 小时清算量达 1.2 亿美元:6月19日消息,据欧科云链链上大师数据显示,过去 24 小时全网 DeFi 抵押借贷清算金额共计 1.2 亿美元。其中,DeFi 借贷协议 Liquity 的清算量占比近 50%,为 6146 万美元,其次分别为 Compound(3116 万美元)、Aave(2496 万美元)。[2022/6/19 4:38:48]

几何平均数平均数在代币联合曲线中起到了关键作用。AMM合约允许用户交易任何组合的代币,这样AMM合约代币余额的平均值在交易发生前后保持不变。在不同的AMM设计中,会使用不同类型的平均数方法。对于Uniswap,它使用的是未加权的几何平均数,对于Balancer,它使用的是加权几何平均数,对于mStable,它使用的则是未加权的算术平均数。而Curve使用的是算术平均数和几何平均数的加权平均数,我称之为Curve平均数。Curve平均数的权重由所谓的放大参数A决定。随着A向无穷大方向增加,Curve的平均数收敛到mStable使用的算术平均数。相反,如果A设置为0,Curve的平均数将与Balancer和Uniswap使用的几何平均数相同。对于A的中间值,Curve的代币联合曲线将位于这两个极端的中间。

当前DeFi中锁定资产总价值达37.26亿美元:金色财经报道,据DeBank数据显示,DeFi中锁定资产总价值达37.26亿美元,Maker以7.83亿美元排在首位、Synthetix锁定资产总价值为5.83亿美元、Compound锁定资产总价值5.64亿美元。

注:总锁仓量(TVL)是衡量一个DeFi项目使用规模时最重要的指标,通过计算所有锁定在该项目智能合约中的ETH及各类ERC-20代币的总价值(美元)之和而得到。[2020/7/25]

图1:代币联合曲线图1显示了四种代币联合曲线。Uniswap保持几何平均常数,这产生了一个非常陡峭的曲率。mStable则是算术平均值常量,它是一条直线,而Curve则位于两者之间。在参数值A=1时,Curve类似于Uniswap,在A=10时,Curve更接近于mStable。平均数和AMM合约持有的价值

参考图1,我们可以看到,所有四条曲线在距离图形原点45度线的一个点相交。我们可以利用这个交点到原点的距离,来快速测量AMM合约代币投资组合的价值。例如,如果这个交叉点到原点的距离增加了20%,那么,假设没有无常损失,AMM合约持有的价值也将增加20%。这适用于我们所有的四种联合曲线类型。当我们考虑Curve时,这一特性尤其有用,因为Curve具有一个独特的特性:当A更新时,其联合曲线的形状会发生变化。对于Curve,我们可以使用距离原点的距离来衡量参数更新前后合约投资组合的价值。显然,如果在更新A之后这个距离明显减少,这将是一个严重的问题。关于参数A的盈亏平衡更新

V神:遭受恶意攻击绝不是DeFi的固有特征:The Defiant记者Camila Russo在Ethereal峰会上询问V神称,DeFi是否有其固有弱点,即它吸引黑客的倾向将反过来吸引监管机构,而这将不可避免地终止这项技术。对此V神回应称:“完全不会。许多负责任的DeFi项目在很长一段时间内都没有受到攻击。这绝对不是DeFi本身的固有属性,有一种方法可以负责任地做到这一点。”V神还指出了集中化实体被攻击的规律性(有时是致命的),并引用了近年来针对集中式交易所的两起最严重的攻击,即2014年Mt.Gox以及2016年Bitfinex的被盗事件。Russo认为,许多DeFi和加密货币项目的开源性质可能是一个明显的攻击载体,因为公开这些项目的代码可以使黑客更容易地了解其内部机制。V神承认这可能是一个问题,但是他也指出经过同行测试技术的好处,这些技术可以被任何有能力和意愿的人审核、审查以及作出贡献。(Decrypt)[2020/5/8]

再次参考图1,假设Curve合约的代币余额正好位于45度线的交点处。当所有Curve代币以一比一的价格比率交易时,就会出现这种情况。从这个起点更新A时,就没有货币损失的风险。例如,假设Curve从这一点开始将参数设置A_old=10改为A_new=1。此更新不会更改联合曲线到原点的距离。因此,参数变化将是完全无害的,不会使Curve流动性提供者面临财务损失的风险。直觉上,如果初始余额不完全在交叉点,但接近于这个交点,则损失的风险仍然很小。关于参数A的亏损更新

现在让我们看看图2。该图说明了当更新A时,攻击者如何可能操纵初始条件以实现巨大的利润。为了便于说明,我展示了从A_old=10到A_new=1的变化,而不是Swerve从A_old=1000到A_new=100的更新。然而,事实证明,漏洞的严重程度只取决于新旧比率,因此该数字准确地描述了Swerve的情况。另外,图中所示的攻击只捕获了合约代币库存的15%。而一个完全优化的攻击将交易更极端的金额,从而可捕获多达36.9%的代币库存。

图2:在恶意交易之间增加一个变化假设Curve合约余额最初位于45度线的交点处,且初始参数值为A_old=10。现在假设一个攻击者在两笔恶意交易之间夹了一个参数更新。在第一次恶意交易中,攻击者出售大量代币,以导致库存失衡。接下来,攻击者将触发一个更新,更新的值为10和1。如图所示,这会改变曲线的形状。最后,攻击者以更低的价格买回他出售的代币。此操作将使合约沿45度线返回到完全平衡的状态。如图所示,此次攻击将导致AMM代币库存的15%丢失。利用漏洞的可行性

那这样的攻击真的有可能吗?令人惊讶的是,答案是yes。Curve合约要求提前几天安排A的变更,并通过去中心化的链上治理流程达成共识。但是,一旦通过治理批准了A中的更改,并且超过了激活截止日期,合约允许任何调用方触发更新。因此,攻击者可自由地从Uniswap快速租借大量稳定币,将其出售给Curve以触发极端不平衡,触发对A的更新,然后从Curve购买稳定币以获得巨大的利润。而完全优化的攻击会涉及到更多,这里就不再深入细节。而我上面所描述的简单攻击,就足以捕获大部分潜在利润。修复关于A更改的智能合约逻辑

目前,Curve合约有两个生产版本。对于未修补的旧版合约,上面提到的内容就是漏洞的原理。而对于较新的合约,仍然存在一个潜在的漏洞,尽管其严重性要小的多。我将首先描述旧合约的建议更改。修复旧Curve合约

在旧的Curve合约中,A的变化发生在一个大的离散步骤中。此外,合约逻辑允许攻击者在单笔交易中以不同的A值执行交易。特别是,攻击者可以利用其初始交易来迫使库存极度失衡,然后触发A的变化,然后以更新后的A值执行更多交易。这使攻击者可执行涉及数以亿计资金量交易的整个攻击,而不会涉及到风险。为了解决这个问题,我建议更新旧的合约,以便只有受信任的多重签名帐户才能激活对A的更新。此外,激活A应需要检查代币余额,以确认代币余额从广播参数更新交易的时间点起没有发生显著变化。这种余额检查可防止流氓矿工的攻击。特别是,一个流氓矿工可重新排序交易,这样他在更新A之前执行一笔大交易,然后在A更新后执行另一笔大交易。余额检查可防止在合约处于意外不平衡状态时激活对A的更改,这足以保护CurveLP免受此类攻击。修复新的Curve合约

在较新的Curve合约中,A的变化是在每次交易开始前以一系列离散的小步骤逐渐发生的。我的理解是每一区块只能调整一步。此外,合约要求在执行任何交易之前进行预定的步骤调整。这足以抵御普通攻击者,但不一定能抵御流氓矿工。特别是,一个流氓矿工可以连续铸造两个区块,并在两个区块中插入恶意交易。这将允许矿工在第一个区块中以较高的A值进行初始交易,并在第二个区块中以较低的A值进行最终交易。更糟糕的是,流氓矿工有一个扩展的窗口来尝试这些攻击。只要A还在更新过程中,流氓矿工就可以继续尝试挖取两个区块序列。为了保护这些较新的合约,我建议将A中的步骤长度减小到每个区块不超过0.1%。为什么小的的步骤长度有帮助?这涉及到一个我还没有介绍的因素——Curve合约会收取一笔费用,由于这笔费用,任何交易都会导致代币联合曲线稍微偏离原点。这也适用于攻击者的巨额交易,这使得攻击的利润略有下降。如果A的变化足够小,则完全优化的攻击所获得的收益,将被攻击者支付给合约的费用所抵消。因此,攻击者再也不可能通过在两笔交易之间夹杂一个变化来获利。关于安全审计和智能合约设计的经验教训

关于这种攻击,它要求设计者深入理解代币联合曲线,对于智能合约审计者来说,发现利用高度专业化知识的漏洞可能并不现实。实际上,Curve合约已经过了多次安全审计,在我写这篇文章时,Swerve合约刚刚通过了另一次审计。在我看来,一个通用的,可通过强力探测而不是理论检测的漏洞审计程序,将是非常有用的。为了检测这类漏洞,我建议代币联合曲线审计纳入任意两步交易程序的模拟。在这些过程中,审计人员将针对合约运行一笔随机交易,触发一个智能合约操作,然后运行另一笔随机交易。在此,智能合约操作将激活对A的更新。对于此漏洞,此模糊测试过程将揭示合约遭受灾难性损失的场景。然后,审计人员可以进一步调查,以了解根本原因。对于智能合约设计师来说,了解审计的局限性是有帮助的。当合约允许一次执行一系列复杂的交互时,全面的模糊测试就变得不可行了。问题在于,用户交互的可能组合太多,我们无法探究每一种可能性。因此,限制用户在短时间内可采取操作的数量和种类是很有帮助的。这里的想法是避免创建一个非常复杂的智能合约,以至于无法通过暴力手段进行审计。感谢Curve团队为我的漏洞报告工作支付了一笔非常慷慨的漏洞奖金,另外,特别要提下我在0x的好友GregHysen,是他挖掘了Curve的代码,帮助我理解更新A的智能合约逻辑。

标签:CURCurveDEFEFIProCurrencycurve币圈Earn DeFi CoinCredefi

酷币下载热门资讯
去中心化交易所:“去中心化交易”能被识别出吗?

编者按:本文来自金色财经,Odaily星球日报经授权转载。随着去中心化金融行业爆炸性的增长,大量用户开始使用DeFi治理代币进行收益耕作,与此同时,Uniswap推出治理代币UNI也推动了平台交.

1900/1/1 0:00:00
COI:报告:比特币与美股的相关性比以往任何时候都更加紧密

许多加密货币分析师已经暗示了比特币与股票市场的关系,这意味着比特币在传统市场中代表的东西越来越多。一方面,这可以将人群从传统市场中剥离出来,而且这已经在很大程度上实现.

1900/1/1 0:00:00
DHT:国盛区块链 | 区块链新基建:分布式存储给互联网带来了什么?

编者按:本文来自吉时通信,Odaily星球日报经授权转载。摘要感谢分布式资本提供研究支持,以及储迅信息技术、CrustNetwork等代表性企业的交流分享.

1900/1/1 0:00:00
区块链:谷燕西:50美元起投美国房地产

我在此前的几篇文章中介绍过美国正在兴起的房地产通证化,也就是把房地产的权益以通证的方式代表发行流通,通过资金募集来共同持有这个房地产所有权或债权。通证的持有者因此可以从中获取稳定的收益.

1900/1/1 0:00:00
NFT:NFT和加密艺术可以放大无审查的现实真相

编者按:本文来自Cointelegraph中文,作者:ALEXANDRALUZAN,Odaily星球日报经授权转载.

1900/1/1 0:00:00
DEFI:「后以太坊1.0」众生相:DeFi拥堵,突围Layer2

编者按:本文来自碳链价值,作者:白夜,Odaily星球日报经授权转载。不知不觉,我们已经走到了一个「后ETH1.0时代」.

1900/1/1 0:00:00