重入威脅的終結：Prover 引擎如何確保以太坊區塊鏈的安全_PRO

作者：MetaTrustLabs

在Web3領域，重入漏洞導致了大規模黑客攻擊和巨額財務損失，智能合約安全性逐漸面臨嚴峻挑戰。由MetaTrustLabs推出的Prover引擎正在引發一場新的安全革命，該引擎也是第一個通過形式驗證證明智能合約防重入安全性的解決方案，并提供數學保證。

智能合約安全現狀

由于其自治性和不可撤銷性，智能合約容易出現安全問題。重入攻擊是其中最具毀滅性且可預防的漏洞之一，導致價值數百萬美元的黑客攻擊。現有解決方案如人工審核、靜態分析和模糊測試缺乏數學嚴密性和可擴展性。它們難以贏得開發者的信任，無法解決此關鍵問題。

NFT金融化協議Omni protocol遭攻擊，是由NFT重入引起:7月10日消息，據BlockSec，去中心化NFT金融化協議Omni protocol遭到攻擊。

攻擊者利用ERC721的重入了清算函數。由于Omni protocol的清算邏輯存在問題，在清算后不正確地清空了攻擊者債務，因此攻擊者可以獲利。[2022/7/10 2:03:47]

一個形式驗證的解決方案：Prover引擎

安全公司：BistrooIO遭受重入攻擊，損失約47000美元:5月8日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺“安全輿情監控數據顯示，BistrooIO 項目遭受重入攻擊，損失1,711,569個BIST（約47000美元），經成都鏈安技術團隊分析，本次攻擊原因是由于pTokens BIST代幣支持ERC-777的代幣標準，其合約在實現transfer調用的時候，會調用_callTokenToSend，進而調用tokensToSend()函數，攻擊者在該函數中通過重入方式調用了EmergencyWithdraw函數，造成重入攻擊。[2022/5/8 2:58:42]

Prover引擎使用形式方法證明重入安全性，并提供數學證明。它讓開發者、審核人員和資助人確信，如果一份合約被證明安全，則肯定不存在重入漏洞。我們在合約層面上定義重入安全性，而不是在追蹤層面上定義。如果在任何方法執行期間可能發生的任何潛在的重入調用不會危及狀態一致性，則該合約是重入安全的。具體來說，在調用之前修改但在調用之后使用的狀態變量不存在。Prover引擎將一份合約分解為每個都只包含一個外部調用的片段。它對每個片段中的狀態變量變化進行建模，并檢查狀態一致性，可擴展到追蹤分析難以完成的復雜合約。通過結合所有片段的結果，Prover引擎證明整個合約的重入安全性。此保證在數學上是嚴格的。開發者可以放心發布，項目方也可以安全使用由Prover引擎證明重入安全的合約。

Akropolis重入攻擊事件：攻擊者使用自己構造token導致合約使用相同差值鑄幣兩次:11月14日，慢霧發布DeFi協議Akropolis重入攻擊事件簡析。內容顯示：

1. 攻擊者使用自己創建的token進行deposit，此時Akropolis合約會先記錄一次合約中所有代幣的總量；

2. Akropolis合約調用用戶自己創建的token的transferFrom函數的時候，攻擊者在transferFrom函數中重入Akropolis合約的deposit函數，并轉入DAI到Akropolis合約中；

3. 此時在重入的交易中，由于Akropolis合約會先獲取合約中所有代幣的總量，這個值和第一次調用deposit函數獲取的合約代幣總量的值一致；

4. Akropolis合約計算充值前后合約中代幣總量的差值，攻擊者在充值DAI后，會得到一定量的Delphi token，獲得token的數量就是充值DAI的數量；

5. 鑄幣完成后，流程回到第一次deposit往下繼續執行，這時合約會再次獲取合約中所有代幣的總量，這時由于在重入交易時，攻擊者已經轉入一定量的DAI，所以得到的代幣總余額就是攻擊者在重入交易完成后的代幣總余額；

6. 此時合約再次計算差值，由于第一次deposit的時候合約中所有代幣的總量已經保存，此時計算出來的差值和重入交易中計算的差值一致，Akropolis合約再次鑄幣給攻擊者。總結：攻擊者使用自己構造的token，對Akropolis合約的deposit函數進行重入，導致Akropolis合約使用相同的差值鑄幣了兩次，但是只觸發了一次轉賬，當攻擊者提現的時候，就可以提兩倍的收益，從而獲利。[2020/11/14 20:48:37]

Prover引擎的潛在影響

Prover引擎可以通過驗證和可擴展的解決方案徹底改變智能合約安全性，實現安全可靠智能合約的廣泛采用。它幫助開發者避免昂貴的漏洞，使審核人員能夠專注于邏輯問題，為資助人提供識別低風險機會的方式，并建立人們對這項顛覆性技術的信任。我們設想Prover引擎作為實現一套完全由機器和數學(而不僅僅依靠易出錯的人為努力)保障的智能合約系統的第一步。智能合約生態值得擁有比目前更可靠的安全基礎，形式方法可以提供與區塊鏈本身一樣堅實的基礎。

通過將形式驗證引入區塊鏈，Prover引擎改變了我們對web3安全的看法。它提供了一個機會，讓我們不再滿足于被動應對，而是主動確保關鍵系統的正確性。Prover引擎代表著安全領域的革新，為智能合約和區塊鏈技術實現真正的企業應用之路敞開了大門。?

Tags：PROAkropolisLISAKROEndor ProtocolAkropolis DelphiethicalissuesAkroma

XLM