作者:MetaTrustLabs
在Web3领域,重入漏洞导致了大规模黑客攻击和巨额财务损失,智能合约安全性逐渐面临严峻挑战。由MetaTrustLabs推出的Prover引擎正在引发一场新的安全革命,该引擎也是第一个通过形式验证证明智能合约防重入安全性的解决方案,并提供数学保证。
智能合约安全现状
由于其自治性和不可撤销性,智能合约容易出现安全问题。重入攻击是其中最具毁灭性且可预防的漏洞之一,导致价值数百万美元的黑客攻击。现有解决方案如人工审核、静态分析和模糊测试缺乏数学严密性和可扩展性。它们难以赢得开发者的信任,无法解决此关键问题。
NFT金融化协议Omni protocol遭攻击,是由NFT重入引起:7月10日消息,据BlockSec,去中心化NFT金融化协议Omni protocol遭到攻击。
攻击者利用ERC721的重入了清算函数。由于Omni protocol的清算逻辑存在问题,在清算后不正确地清空了攻击者债务,因此攻击者可以获利。[2022/7/10 2:03:47]
一个形式验证的解决方案:Prover引擎
Gnosis Chain硬分叉成功执行,已升级容易受到重入攻击的代币合约:4月20日消息,Gnosis Chain硬分叉已成功执行,此次硬分叉更新了桥接代币,旨在升级容易受到重入攻击(reentrancyattack)的代币合约(Agave和Pored Finance等)。
此前报道,3月16日Gnosis Chain上Hundred Finance与Agave遭遇闪电贷攻击,损失超1100万美元。[2022/4/20 14:36:20]
Prover引擎使用形式方法证明重入安全性,并提供数学证明。它让开发者、审核人员和资助人确信,如果一份合约被证明安全,则肯定不存在重入漏洞。我们在合约层面上定义重入安全性,而不是在追踪层面上定义。如果在任何方法执行期间可能发生的任何潜在的重入调用不会危及状态一致性,则该合约是重入安全的。具体来说,在调用之前修改但在调用之后使用的状态变量不存在。Prover引擎将一份合约分解为每个都只包含一个外部调用的片段。它对每个片段中的状态变量变化进行建模,并检查状态一致性,可扩展到追踪分析难以完成的复杂合约。通过结合所有片段的结果,Prover引擎证明整个合约的重入安全性。此保证在数学上是严格的。开发者可以放心发布,项目方也可以安全使用由Prover引擎证明重入安全的合约。
金色晨讯 | 以太坊君士坦丁堡升级因“可重入”漏洞延期 51%双花攻击所得的ETC已归还完毕:1.南非或将开始跟踪加密货币交易。
2.以太坊君士坦丁堡升级因“可重入”漏洞延期。
3.美国立法者提出新法案 为部分加密初创公司提供“安全港”。
4.2018年中国区块链专利申请量领跑全球 达到2913件。
5.保加利亚政府对加密货币交易利润征收10%的税款。
6.IBM使用区块链平台跟踪金属行业的供应链。
7.印度政府将于1月17日批准创业激励计划并与区块链基金会合作。
8.慢雾: 51%双花攻击所得的所有ETC已归还完毕。
9.Ripple:仅2015年8月之前的私钥易受攻击。[2019/1/17]
Prover引擎的潜在影响
Prover引擎可以通过验证和可扩展的解决方案彻底改变智能合约安全性,实现安全可靠智能合约的广泛采用。它帮助开发者避免昂贵的漏洞,使审核人员能够专注于逻辑问题,为资助人提供识别低风险机会的方式,并建立人们对这项颠覆性技术的信任。我们设想Prover引擎作为实现一套完全由机器和数学(而不仅仅依靠易出错的人为努力)保障的智能合约系统的第一步。智能合约生态值得拥有比目前更可靠的安全基础,形式方法可以提供与区块链本身一样坚实的基础。
通过将形式验证引入区块链,Prover引擎改变了我们对web3安全的看法。它提供了一个机会,让我们不再满足于被动应对,而是主动确保关键系统的正确性。Prover引擎代表着安全领域的革新,为智能合约和区块链技术实现真正的企业应用之路敞开了大门。?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。