本文来自GelatoNetwork,原文作者:GelatoNetwork,由Odaily星球日报译者Katie辜编译。
安全事件频发,12月22日,流动性管理协议VisorFinance就遭黑客攻击。本月中旬,Gelato团队被提醒在SorbetFinance使用的一个智能合约中存在一个严重的漏洞。该合约的设计目的是让用户只需使用一个代币就可以从SorbetFinance进入和退出G-UNI矿池,而不是从一开始就需要提供两个相等比例的代币。
当晚,Gelato团队成功执行了一次“白帽行动”,挽救了用户的损失,总计约2600万美元。这些资金被发送到一个安全的托管合约中,只有这些资金的原始所有者才能收回这些资金。
SorbetFinance、G-UNI或GelatoNetwork的其它智能合约或组件均未受到影响。特别是G-UNI矿池是安全的。
Metaplex发布使其代币元数据合约完全去中心化的具体措施:5月23日消息,Solana生态NFT平台Metaplex今天发布关于代币元数据的公告,相关三个重要更新为:1.Metaplex基金会将使代币元数据(Token Metadata)达到不可更改的最终状态,这意味着任何实体都不能升级或修改程序或其管理的资产。2.Metaplex基金会和Solana基金会已就保留代币元数据的某些关键特征的计划达成一致,包括代币元数据访问无需许可、继续平等对待所有调用代币元数据来创建、更新、转移、销毁、上线、购买或销售NFT的程序、不会使用 MPLX对代币元数据的功能进行门控;3.将在未来几天向代币元数据程序中引入适度的网络费用,范围从0.01到0.001 SOL。通过建立完全去中心化代币元数据的路径,该框架确保了一个公平、可靠和无需许可的生态系统,以及对协议的持续投资,以长期发展Solana NFT。[2023/5/23 15:20:31]
对于那些尚未撤销智能合约审批的用户来说,关键的风险仍然存在。因此,我们强烈敦促与SorbetFinance矿池页面进行交互的用户在将任何代币发送到他们的钱包之前,先撤销他们的批准。
基于MetaMask的扩展工具CoinChoice上线:4月25日消息,基于MetaMask的扩展工具Coin Choice上线,该工具支持使用非GasToken(如USDC等)支付不同网络的gas费用。该工具基于MetaMask的扩展平台MetaMask Snaps搭建,曾是ETH Denver黑客松入围项目。[2023/4/25 14:25:30]
截至12月20日欧洲中部时间12点,除66个地址外,所有地址都成功取消了他们的存款。我们将继续积极监控并尽最大努力挽救受影响的钱包,但为了确保资金的最终安全,受影响的用户必须自行撤销对Sorbet的批准。
目前,Gelato团队成功执行了另外35项白帽拯救交易,从面临风险的钱包中又保护了100万美元。除66名用户外,所有用户都尚未撤销对Sorbet的批准。
声音 | Metamask贡献者:没有从ConsenSys获得所需的支持 团队不堪重负:以太坊浏览器扩展程序Metamask的贡献者声称,MetaMask团队“完全不堪重负”,没有被其母公司 ConsenSys优先考虑。在Reddit的12月25日帖子中,Reddit用户lazaridiscom3声称MetaMask团队没有从ConsenSys获得所需的支持,因此,由24名员工组成的整个团队不堪重负。该用户提到,MetaMask团队有许多悬而未决的问题,其内部工作流结构既不透明,也不去中心化。“MetaMask是以太坊的一项重要价值变动工具。它是用JavaScript编写的,几乎完全没有类型。该代码质量低劣,充满技术债务(在代码和架构方面都是如此)。”用户Lazardiscom援引他在GitHub上的Lazardiscom账户告诉Cointelegraph,他是作为贡献者参与这个项目的。作为对现有问题的建议解决方案的一部分,其敦促MetaMask团队需要立即完全迁移到TypeScript上。(Cointelegraph)[2019/12/27]
技术细节
声音 | PreAngel的创始合伙人Leo Wang:去年的疯狂都是不正常的现象:2018全球媒体区块链峰会上,PreAngel的创始合伙人Leo Wang做了“通证经济如何改变了天使投资”主题演讲。他表示,我们目前正在经历区块链的冬天,而作为价值投资人来说,心情则更为平静,因为这才是区块链回归理性的时候,去年的疯狂都是不正常的。[2018/8/14]
包含该漏洞的智能合约与12月10日发布的dYdX漏洞报告中披露的漏洞相似。多亏了这份报告和我们的线人,我们发现了Sorbet上的漏洞并在黑客利用它之前进行了修正。
dYdX的情况是被告知代理智能合约存在一个关键漏洞,该合约自11月24日以来一直在处理dYdX交易所的存款。dYdX团队执行了一个白帽来拯救用户资金,总计约200万美元。这些资金被送到一个非托管的托管合约,只有这些资金的原始所有者可以取回它们。
我们敦促所有读到这篇文章的Dapp开发者仔细检查他们的智能合约,以防他们在智能合约层面上与DEX聚合器交互,以确保他们的系统没有与我们类似的漏洞。
如何避开Bug
Gelato开发团队非常清楚Solidity中的低级调用的危险性。这个bug本不应该出现在产品中,但它却出现了。这表明我们在智能合约测试和审查过程中出现了一个严重的错误。这是Gelato存在两年半以来的第一个安全漏洞,我们将通过维护和加强我们在未来所有智能合约发布中一贯的高标准,确保这将是最后一个漏洞。
与之前经过审计和实战测试的版本相比,处于风险中的智能合约只包含一个小更改。这导致我们的智能合约开发团队过早地将其发布,而没有遵循我们通常遵循的严格的安全审查过程。
这一事件其实是可以避免的,我们已经采取了一些措施,以确保这样的错误永远不会再出现。
我们的“预防针”
我们坚持Web3的最高安全标准。通过这次事件,我们了解到,无论多么小的变化,无论一个合约有多少次经过实战考验的历史,它都必须在投入使用之前进行彻底的审查和审计。
为避免此类漏洞再次发生,我们计划实施以下安全措施:
对所有新合约或由多个团队成员对这些合约的所有修改进行彻底的审查,无论修改多微小;
密切监控风险模式和之前报告的智能合约漏洞,如dYdX报告,在这个案例中,正是我们的漏洞;
评估新部署或合约修改的最坏情况,并设计应对措施;
创建bug奖励机制,鼓励外部开发人员在代码公开之前发现代码中的错误;
对已经投产几个月没有任何事故的智能合约进行持续的代码审查;
在将新特性投入使用之前,使用我们集成的协议来检查它们的集成安全性。
Bug猎人赏金
Gelato团队非常感谢那个提醒注意这个bug的人。使团队能够迅速采取行动,帮助受影响的用户挽回2600万美元的损失。?
Gelato团队将提出一个治理建议,向一路上帮助过我们的社区成员发放的bug奖励。
偿还被盗资金
我们成功地在白帽袭击时挽救所有损失。然而,直到他们撤销对SorbetFinance的批准之前,用户的资金仍然很容易受到影响。尽管我们尽了最大的努力,并让多个回收机器人持续运行,拯救那些处于风险中的资金,总金额约为744万美元被恶意搜索者窃取,这些搜索者能够在一开始的少量交易中抢先我们的机器人。从那时起,我们优化了我们的系统,并在大多数交易中击败了恶意搜索者。
Gelato团队将创建一份治理提案,以全额补偿这些损失,并由GEL持有人投票表决。由于可能出现的“假被盗”的情况,事件发生后的时间已经过去了,并且团队已经竭尽全力通知了有风险的地址,我们将不再赔偿12月20日下午13:00以后发生的任何损失。
尽管如此,我们将继续运营多个白帽机器人。在截止日期之后成功拯救的资金,减去机器人运营商在营救交易中产生的矿工费后,将被退还给用户。
总结
尽管存在漏洞,也未能遵守我们所追求的最高安全标准,但我们成功地实施了多次白帽攻击,挽救了超过2700万用户的资金。Gelato团队迅速地处理了漏洞,恢复机器人和批准撤销用户界面,Gelato团队将继续优化,为Web3生态系统带来最好的Web3自动化工具。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。