近日，去中心化金融（DeFi）因最近幾個關鍵平臺遭受的一系列攻擊而陷入困境，有專業人士統計，總計約 7000 萬美元被盜。

　　其中，包括來自Curve Finance的盜竊、借貸協議 Alchemix、收益平臺 Pendle 和合成資產工具 Metronome 以及去中心化 NFT 協議 JPEG 也都受到了打擊。

　　以Curve Finance為例，它是最常用、最有影響力的去中心化交易所之一，專注于穩定幣和其他低波動性資產的交易。據悉，Curve Finance作為Vyper語言的使用者，其多個穩定幣池遭到攻擊并損失了約2500萬美元。

　　具體來看，7月30日，智能合約編程語言Vyper的部分版本被發現存在嚴重漏洞，包括CurveFinance在內的重要項目因此遭受了攻擊，損失數千萬美元，此次攻擊事件為智能合約的安全性敲響了警鐘。

　　本次漏洞源于Vyper語言版本0.2.15至0.3.0之間的重入鎖機制失效。對于區塊鏈項目來說，重入攻擊（ReentrancyAttack）是智能合約領域的一個常見漏洞。它指的是合約函數可以在一個函數執行過程中，被同一合約的其他函數再次調用，如果合約邏輯不嚴密，就可能被利用進行重復提取資金等惡意操作。

　　舉例來說，假設有一個智能合約提供了存款和取款的功能，取款函數的邏輯是先將用戶的余額減去取款金額，然后將取款金額轉給用戶，如果用戶是一個惡意合約，它可以在接收到轉賬時，再次調用取款函數，因為此時合約還沒有更新用戶的余額，所以可以重復取款，這樣就可以將銀行合約中的資金全部轉走。

　　值得一提的是，Curve 不是第一次出現被黑客攻擊的事件了，作為 Defi 的頂級項目都無法免疫黑客攻擊，普通的項目方更應該在黑客攻擊端和合約防守端重視起來。

　　那么針對進攻端，項目方可以做哪些準備呢？OKLink 團隊推薦項目方通過鏈上標簽系統提前辨別有黑歷史的錢包，阻止有過異常行為地址的交互。此次Curve 的其中一個攻擊者的地址就有過不良記錄曾被 OKLink 記錄，其行為模式也一定程度上超出常理，有三日交易筆數過百。

　　項目方又如何在防守端進行防御呢？重入攻擊此類的安全事件一定還會發生，所以除了上述在攻防兩端我們需要付出的努力外，項目方需要做好應急預案，當受到黑客攻擊時能最及時的進行反應，減少項目方和用戶的損失。

　　Vyper貢獻者也建議，對于 Vyper 此類公共產品我們應該加強公眾激勵，尋找關鍵漏洞。OKLink呼吁應該盡早建立起一套安全響應標準，讓黑/灰地址的資金追蹤變得更加容易。

　　正如 OKLink 產品在此類事件中的攻防兩端起到防范黑客和追查資金的作用，項目方在搭建平臺的安全模塊時應考慮第三方技術服務商可以帶來的額外價值，更快更好的筑起項目的安全堡壘。

　　總的來說，歐科云鏈等安全公司的出現，代表區塊鏈安全行業為執法機構提供了數智化偵破案件服務工具和應對新型技術犯罪的全流程的解決方案，相信未來，歐科云鏈等企業還將以技術賦能行業健康發展，為鏈上安全保駕護航。