PRO:重入威胁的终结：Prover 引擎如何确保以太坊区块链的安全

作者：MetaTrustLabs

在Web3领域，重入漏洞导致了大规模黑客攻击和巨额财务损失，智能合约安全性逐渐面临严峻挑战。由MetaTrustLabs推出的Prover引擎正在引发一场新的安全革命，该引擎也是第一个通过形式验证证明智能合约防重入安全性的解决方案，并提供数学保证。

智能合约安全现状

由于其自治性和不可撤销性，智能合约容易出现安全问题。重入攻击是其中最具毁灭性且可预防的漏洞之一，导致价值数百万美元的黑客攻击。现有解决方案如人工审核、静态分析和模糊测试缺乏数学严密性和可扩展性。它们难以赢得开发者的信任，无法解决此关键问题。

NFT金融化协议Omni protocol遭攻击，是由NFT重入引起:7月10日消息，据BlockSec，去中心化NFT金融化协议Omni protocol遭到攻击。

攻击者利用ERC721的重入了清算函数。由于Omni protocol的清算逻辑存在问题，在清算后不正确地清空了攻击者债务，因此攻击者可以获利。[2022/7/10 2:03:47]

一个形式验证的解决方案：Prover引擎

Cream Finance遭到闪电贷攻击原因系AMP代币合约存在可重入漏洞:8月30日，PeckShield派盾发推表示，CreamFinance遭闪电贷攻击是因为AMP代币合约引入了一个可重入漏洞。AMP是一种类似erc777的代币，在更新第一次借款之前，它被用来在转移资产的过程中重新借入资产。在tx示例中，黑客进行了500ETH的闪电贷，并将资金存入作为抵押品。然后黑客借了1900万美元AMP并利用可重入漏洞在AMPtokentransfer()中重新借入了355ETH。然后黑客自行清算借款。黑客在17个不同的交易中重复上述过程，总共获得5.98KETH（约1880万美元）。资金仍存放在以0xCE1F的地址中。派盾正在积极监控此地址的任何移动。据此前报道，抵押借贷平台CreamFinance遭遇闪电贷攻击，损失1800万美元。[2021/8/30 22:47:08]

Prover引擎使用形式方法证明重入安全性，并提供数学证明。它让开发者、审核人员和资助人确信，如果一份合约被证明安全，则肯定不存在重入漏洞。我们在合约层面上定义重入安全性，而不是在追踪层面上定义。如果在任何方法执行期间可能发生的任何潜在的重入调用不会危及状态一致性，则该合约是重入安全的。具体来说，在调用之前修改但在调用之后使用的状态变量不存在。Prover引擎将一份合约分解为每个都只包含一个外部调用的片段。它对每个片段中的状态变量变化进行建模，并检查状态一致性，可扩展到追踪分析难以完成的复杂合约。通过结合所有片段的结果，Prover引擎证明整个合约的重入安全性。此保证在数学上是严格的。开发者可以放心发布，项目方也可以安全使用由Prover引擎证明重入安全的合约。

动态 | 以太坊君士坦丁堡升级因“可重入”漏洞延期:据PeckShield消息，今天凌晨，以太坊君士坦丁堡代码突然爆出“可重入”漏洞，该漏洞可以用来攻击相关合约修改用户余额或其他关键变量。PeckShield安全人员初步分析发现，在分叉之前一个存储操作至少需要5000gas，这个是远超缺省转账激励的2300gas。但分叉后一个存储只需200gas，这个造成了现有合约再处理转帐时候，如调用了攻击者合约，可以用来修改调用者合约的内部变量，其中可能包括账号余额等。由于该漏洞，以太坊君士坦丁堡升级延期，具体的升级时间将在周五的下一次核心开发者电话会议选出。[2019/1/16]

Prover引擎的潜在影响

Prover引擎可以通过验证和可扩展的解决方案彻底改变智能合约安全性，实现安全可靠智能合约的广泛采用。它帮助开发者避免昂贵的漏洞，使审核人员能够专注于逻辑问题，为资助人提供识别低风险机会的方式，并建立人们对这项颠覆性技术的信任。我们设想Prover引擎作为实现一套完全由机器和数学(而不仅仅依靠易出错的人为努力)保障的智能合约系统的第一步。智能合约生态值得拥有比目前更可靠的安全基础，形式方法可以提供与区块链本身一样坚实的基础。

通过将形式验证引入区块链，Prover引擎改变了我们对web3安全的看法。它提供了一个机会，让我们不再满足于被动应对，而是主动确保关键系统的正确性。Prover引擎代表着安全领域的革新，为智能合约和区块链技术实现真正的企业应用之路敞开了大门。?

标签：PROVERROVERAMPBTA ProtocolEverton Fan TokenRover Inu TokenPamp Network

SHIB最新价格热门资讯