VER:重入威脅的終結：Prover 引擎如何確保以太坊區塊鏈的安全

作者：MetaTrustLabs

在Web3領域，重入漏洞導致了大規模黑客攻擊和巨額財務損失，智能合約安全性逐漸面臨嚴峻挑戰。由MetaTrustLabs推出的Prover引擎正在引發一場新的安全革命，該引擎也是第一個通過形式驗證證明智能合約防重入安全性的解決方案，并提供數學保證。

智能合約安全現狀

由于其自治性和不可撤銷性，智能合約容易出現安全問題。重入攻擊是其中最具毀滅性且可預防的漏洞之一，導致價值數百萬美元的黑客攻擊。現有解決方案如人工審核、靜態分析和模糊測試缺乏數學嚴密性和可擴展性。它們難以贏得開發者的信任，無法解決此關鍵問題。

PeckShield：基于Aave的Earning Farm協議遭受重入攻擊，已損失至少28.7萬美元:金色財經報道，區塊鏈安全公司 PeckShield 發布推文稱，Aave 協議的 Earning Farm 已受到重入攻擊，導致至少價值 287,000 美元的以太坊被盜。

目前尚不清楚此次攻擊是否與 Curve Finance 資金池的漏洞有關。7 月 30 日，DeFi 協議的穩定池也遭受了重入攻擊，損失超過 6100 萬美元。Curve 黑客攻擊是由影響 Vyper 編程語言三個版本的漏洞導致的，Vyper 編程語言是 DeFi 協議開發人員廣泛使用的通用合約語言。

Earning Farm 旨在成為以太坊、wBTC和 USDC 持有者的用戶友好協議，其網站稱，安全公司 Slowmist 審核了其區塊鏈合約。[2023/8/10 16:16:23]

一個形式驗證的解決方案：Prover引擎

CZ：幣安團隊已檢查Vyper可重入漏洞，用戶不受影響:7月31日消息，CZ發推稱，CEX喂價拯救了DeFi。幣安用戶不受影響。幣安團隊已檢查Vyper可重入漏洞。幣安只使用0.3.7或以上版本。保持最新的代碼庫、應用程序和操作系統非常重要。

據此前報道，因Vyper部分版本（0.2.15、0.2.16和0.3.0）存在功能失效的遞歸鎖漏洞，Curve上alETH/ETH、msETH/ETH、pETH/ETH和CRV/ETH池遭遇攻擊。[2023/7/31 16:09:06]

Prover引擎使用形式方法證明重入安全性，并提供數學證明。它讓開發者、審核人員和資助人確信，如果一份合約被證明安全，則肯定不存在重入漏洞。我們在合約層面上定義重入安全性，而不是在追蹤層面上定義。如果在任何方法執行期間可能發生的任何潛在的重入調用不會危及狀態一致性，則該合約是重入安全的。具體來說，在調用之前修改但在調用之后使用的狀態變量不存在。Prover引擎將一份合約分解為每個都只包含一個外部調用的片段。它對每個片段中的狀態變量變化進行建模，并檢查狀態一致性，可擴展到追蹤分析難以完成的復雜合約。通過結合所有片段的結果，Prover引擎證明整個合約的重入安全性。此保證在數學上是嚴格的。開發者可以放心發布，項目方也可以安全使用由Prover引擎證明重入安全的合約。

安全公司Dedaub因披露Uniswap重入漏洞獲得4萬美元漏洞賞金:1月3日消息，安全公司 Dedaub 團隊宣布獲得 Uniswap Labs 的 4 萬枚 USDC 安全漏洞賞金，因為其披露 Uniswap 的一個嚴重漏洞，該漏洞有重入并耗盡用戶的資金的可能性。不過，Uniswap 團隊已解決該漏洞并在所有鏈上重新部署了 Universal Router 智能合約，資金是安全的。

Uniswap 在 2022 年 11 月份發布通用路由器Universal Router智能合約，可將 ERC20 和 NFT 兌換統一到一個交換路由器中，用戶可以執行異構操作，例如，在一筆交易中交換多個 Token 和 NFT。

Dedaub 表示，該路由器為各種 Token 操作嵌入了腳本語言，此類命令可能包括向第三方（可能不受信任的）接收人的傳輸。如果在傳輸過程中的任何時候調用第三方代碼，該代碼可以重新進入 UniversalRouter 并在合約中臨時認領任何 Token。Dedaub 建議 Uniswap 為新路由器的核心執行添加一個重入鎖，并重新部署。[2023/1/4 9:50:22]

Prover引擎的潛在影響

Prover引擎可以通過驗證和可擴展的解決方案徹底改變智能合約安全性，實現安全可靠智能合約的廣泛采用。它幫助開發者避免昂貴的漏洞，使審核人員能夠專注于邏輯問題，為資助人提供識別低風險機會的方式，并建立人們對這項顛覆性技術的信任。我們設想Prover引擎作為實現一套完全由機器和數學(而不僅僅依靠易出錯的人為努力)保障的智能合約系統的第一步。智能合約生態值得擁有比目前更可靠的安全基礎，形式方法可以提供與區塊鏈本身一樣堅實的基礎。

通過將形式驗證引入區塊鏈，Prover引擎改變了我們對web3安全的看法。它提供了一個機會，讓我們不再滿足于被動應對，而是主動確保關鍵系統的正確性。Prover引擎代表著安全領域的革新，為智能合約和區塊鏈技術實現真正的企業應用之路敞開了大門。?

Tags：VERPROROVERUNIVERSESS CoinProfit BlueDROVERS價格UniLend Finance

非小號