GEL:Gelato以白帽奇襲挽救用戶資金，處理Sorbet Finance漏洞與dYdX有何不同？

本文來自GelatoNetwork，原文作者：GelatoNetwork，由Odaily星球日報譯者Katie辜編譯。

安全事件頻發，12月22日，流動性管理協議VisorFinance就遭黑客攻擊。本月中旬，Gelato團隊被提醒在SorbetFinance使用的一個智能合約中存在一個嚴重的漏洞。該合約的設計目的是讓用戶只需使用一個代幣就可以從SorbetFinance進入和退出G-UNI礦池，而不是從一開始就需要提供兩個相等比例的代幣。

當晚，Gelato團隊成功執行了一次“白帽行動”，挽救了用戶的損失，總計約2600萬美元。這些資金被發送到一個安全的托管合約中，只有這些資金的原始所有者才能收回這些資金。

SorbetFinance、G-UNI或GelatoNetwork的其它智能合約或組件均未受到影響。特別是G-UNI礦池是安全的。

部分用戶稱Ledger兌換服務商Changelly和Wyre“無故”凍結用戶資金:12月19日消息，NextDAO核心貢獻者0xSea.eth表示，硬件錢包Ledger的兌換服務商Changelly和Wyre涉嫌“無故”凍結用戶資金。幾周前，有用戶反饋在Wyre平臺兌換的資金無故丟失。其朋友K使用Changelly時也經歷類似事情，金額高達300萬美元，目前仍未得到解決。

Changelly表示收到并在審核中，并沒有繼續推進解決該事件，反而在相同問題上一直糾纏。11月11日至今，300萬U就這樣被無理由扣壓一個多月。目前K已準備在香港報警。

據悉，根據Ledger網站，其兌換服務合作伙伴包括Changelly、Wyre、ParaSwap和1inch。[2022/12/19 21:54:42]

對于那些尚未撤銷智能合約審批的用戶來說，關鍵的風險仍然存在。因此，我們強烈敦促與SorbetFinance礦池頁面進行交互的用戶在將任何代幣發送到他們的錢包之前，先撤銷他們的批準。

基于Solana的NFT市場Fallen Angels宣布啟動ANGEL代幣空投:5月10日，官方消息，基于Solana的NFT市場Fallen Angels宣布，于5月9日7:00 PM（PT）推出官方網站和ANGEL代幣空投，空投截止時間為5月23日。Fallen Angels已公布ANGEL空投規則。ANGEL總量為10億枚：空投10%、團隊10%、質押獎勵15%、DAO/Treasury 25%、交易獎勵35%、流動性管理5%。[2022/5/10 3:01:47]

截至12月20日歐洲中部時間12點，除66個地址外，所有地址都成功取消了他們的存款。我們將繼續積極監控并盡最大努力挽救受影響的錢包，但為了確保資金的最終安全，受影響的用戶必須自行撤銷對Sorbet的批準。

目前，Gelato團隊成功執行了另外35項白帽拯救交易，從面臨風險的錢包中又保護了100萬美元。除66名用戶外，所有用戶都尚未撤銷對Sorbet的批準。

Gelato Network：Sorbet Finance合約出現嚴重漏洞，請用戶盡快采取行動:12月12日消息，以太坊智能合約自動執行工具Gelato Network發推稱，我們收到警報說Sorbet Finance的G-UNI路由器合約有嚴重漏洞。此漏洞只影響與Sorbet UI交互的用戶。沒有資金損失。如果您在Sorbet上持有任何頭寸，請立即采取行動。在完成以下步驟之前不要發送任何其他交易，否則資金將處于風險中：登錄Sorbet Finance/#/pools，遵循指導撤銷您給予存在風險合約的所有授權。

官方稱，在收到來自白帽黑客samczsun的警示后，一直在與Yash Shah（Lemma Finance聯合創始人）合作進行白帽回收，將所有潛在的易受攻擊的資金轉移到一個安全的托管合約中，這樣用戶可以很快從該合約中收回資金。[2021/12/12 7:33:40]

技術細節

聲音 | Bigbang Angels CEO：基于Utility通證的生態有優勢也有限制:Bigbang Angels CEO Byeongseon Hwang在由金色財經主辦的金色沙龍韓國站現場介紹了基于Utility通證的生態系統。他說，基于Utility通證的生態對投資者沒有限制，而且將會顛覆以股份為中心的公司結構。同時他也指出了以Utility通證為基礎的生態的限制。他說，這種生態會使投資風險增加，而且對分布式自律組織管理非常不成熟，交易所也存在透明度的問題，通證價格變動巨大等。[2018/12/20]

包含該漏洞的智能合約與12月10日發布的dYdX漏洞報告中披露的漏洞相似。多虧了這份報告和我們的線人，我們發現了Sorbet上的漏洞并在黑客利用它之前進行了修正。

dYdX的情況是被告知代理智能合約存在一個關鍵漏洞，該合約自11月24日以來一直在處理dYdX交易所的存款。dYdX團隊執行了一個白帽來拯救用戶資金，總計約200萬美元。這些資金被送到一個非托管的托管合約，只有這些資金的原始所有者可以取回它們。

我們敦促所有讀到這篇文章的Dapp開發者仔細檢查他們的智能合約，以防他們在智能合約層面上與DEX聚合器交互，以確保他們的系統沒有與我們類似的漏洞。

如何避開Bug

Gelato開發團隊非常清楚Solidity中的低級調用的危險性。這個bug本不應該出現在產品中，但它卻出現了。這表明我們在智能合約測試和審查過程中出現了一個嚴重的錯誤。這是Gelato存在兩年半以來的第一個安全漏洞，我們將通過維護和加強我們在未來所有智能合約發布中一貫的高標準，確保這將是最后一個漏洞。

與之前經過審計和實戰測試的版本相比，處于風險中的智能合約只包含一個小更改。這導致我們的智能合約開發團隊過早地將其發布，而沒有遵循我們通常遵循的嚴格的安全審查過程。

這一事件其實是可以避免的，我們已經采取了一些措施，以確保這樣的錯誤永遠不會再出現。

我們的“預防針”

我們堅持Web3的最高安全標準。通過這次事件，我們了解到，無論多么小的變化，無論一個合約有多少次經過實戰考驗的歷史，它都必須在投入使用之前進行徹底的審查和審計。

為避免此類漏洞再次發生，我們計劃實施以下安全措施:

對所有新合約或由多個團隊成員對這些合約的所有修改進行徹底的審查，無論修改多微小；

密切監控風險模式和之前報告的智能合約漏洞，如dYdX報告，在這個案例中，正是我們的漏洞；

評估新部署或合約修改的最壞情況，并設計應對措施；

創建bug獎勵機制，鼓勵外部開發人員在代碼公開之前發現代碼中的錯誤；

對已經投產幾個月沒有任何事故的智能合約進行持續的代碼審查；

在將新特性投入使用之前，使用我們集成的協議來檢查它們的集成安全性。

Bug獵人賞金

Gelato團隊非常感謝那個提醒注意這個bug的人。使團隊能夠迅速采取行動，幫助受影響的用戶挽回2600萬美元的損失。?

Gelato團隊將提出一個治理建議，向一路上幫助過我們的社區成員發放的bug獎勵。

償還被盜資金

我們成功地在白帽襲擊時挽救所有損失。然而，直到他們撤銷對SorbetFinance的批準之前，用戶的資金仍然很容易受到影響。盡管我們盡了最大的努力，并讓多個回收機器人持續運行，拯救那些處于風險中的資金，總金額約為744萬美元被惡意搜索者竊取，這些搜索者能夠在一開始的少量交易中搶先我們的機器人。從那時起，我們優化了我們的系統，并在大多數交易中擊敗了惡意搜索者。

Gelato團隊將創建一份治理提案，以全額補償這些損失，并由GEL持有人投票表決。由于可能出現的“假被盜”的情況，事件發生后的時間已經過去了，并且團隊已經竭盡全力通知了有風險的地址，我們將不再賠償12月20日下午13:00以后發生的任何損失。

盡管如此，我們將繼續運營多個白帽機器人。在截止日期之后成功拯救的資金，減去機器人運營商在營救交易中產生的礦工費后，將被退還給用戶。

總結

盡管存在漏洞，也未能遵守我們所追求的最高安全標準，但我們成功地實施了多次白帽攻擊，挽救了超過2700萬用戶的資金。Gelato團隊迅速地處理了漏洞，恢復機器人和批準撤銷用戶界面，Gelato團隊將繼續優化，為Web3生態系統帶來最好的Web3自動化工具。

Tags：GELATOELALATRIGELtomatos幣介紹Axelarantiqueplatform

歐易okex官網