GAT:Gelato以白帽奇袭挽救用户资金，处理Sorbet Finance漏洞与dYdX有何不同？_Athena Returns Olea

本文来自GelatoNetwork，原文作者：GelatoNetwork，由Odaily星球日报译者Katie辜编译。

安全事件频发，12月22日，流动性管理协议VisorFinance就遭黑客攻击。本月中旬，Gelato团队被提醒在SorbetFinance使用的一个智能合约中存在一个严重的漏洞。该合约的设计目的是让用户只需使用一个代币就可以从SorbetFinance进入和退出G-UNI矿池，而不是从一开始就需要提供两个相等比例的代币。

当晚，Gelato团队成功执行了一次“白帽行动”，挽救了用户的损失，总计约2600万美元。这些资金被发送到一个安全的托管合约中，只有这些资金的原始所有者才能收回这些资金。

SorbetFinance、G-UNI或GelatoNetwork的其它智能合约或组件均未受到影响。特别是G-UNI矿池是安全的。

美国经济学家Jeremy Siegel：美联储再次加息的门槛很高 预计年底前会降息:5月6日消息，美国经济学家Jeremy Siegel表示，美联储再次加息的门槛很高；美联储的行动不再滞后于收益率曲线；美联储已经完成了任务；预计美联储年底前会降息。[2023/5/6 14:46:07]

对于那些尚未撤销智能合约审批的用户来说，关键的风险仍然存在。因此，我们强烈敦促与SorbetFinance矿池页面进行交互的用户在将任何代币发送到他们的钱包之前，先撤销他们的批准。

截至12月20日欧洲中部时间12点，除66个地址外，所有地址都成功取消了他们的存款。我们将继续积极监控并尽最大努力挽救受影响的钱包，但为了确保资金的最终安全，受影响的用户必须自行撤销对Sorbet的批准。

美国律所Bragar Eagel & Squire代表投资者向TerraForm Labs等提起集体诉讼:7月25日消息，美国律师事务所Bragar Eagel & Squire宣布在加利福尼亚北区美国地方法院对TerraForm Labs Ptd、Jump Crypto、Jump Trading LLC、Three Arrows Capital、Tribe Capital、DFinance Capital、Do Kwon、Nicholas Platias等提起集体诉讼。

Bragar Eagel & Squire声称，其代表所有于2021年5月20日至2022年5月25日购买或以其他方式获得Terra代币（包括UST、LUNA、KRT、ANC、WHALE、ASTRO、APPOLO、 XDEFI、MINE、aUST、vUST、MIR）、镜像资产（如mBTC、mETH、mVIXY、mTSLA等）、流动性池代币（如UST-mVIXY-LP、bLUNA-LUNA-LP、XDEFI-UST-LP等）、抵押资产（如bLUNA和bETH）的个人和实体提起该诉讼。投资者可以在2022年8月19日之前向法院申请成为该诉讼的主要原告。（Businesswire）[2022/7/25 2:35:48]

目前，Gelato团队成功执行了另外35项白帽拯救交易，从面临风险的钱包中又保护了100万美元。除66名用户外，所有用户都尚未撤销对Sorbet的批准。

动态 | Gnosis资助的以太坊零编程自动化工具Gelato推出Alpha版:由 Gnosis 生态基金和 Meta Cartel 资助的 Gelato 团队正式公开首个工具 Gelato Finance，这是一个无需编程就可以创建基于以太坊的自动化程序的工具。官方称，Gelata 的目标是帮助用户全天候自动执行基于以太坊平台的任务。简而言之，用户可以通过 Gelato 创建自己的以太坊机器人，它会替你执行与其他应用的交互，原则上可以使用该机器人接入任何去中心化应用，而且不需要写任何代码。Gelato Finance 是 Gelato 展示的首个工具，目前还处于早期的 alpha 阶段，官方提示虽然工具目前可以使用，但是尚未经过审计。目前 Gelato Finance 上可以体验部分功能，比如：根据 Kyber 的价格，到 Fulcrum 交易；每天在 Kyber 上以市价单交易；当钱包中 Dai 的余额接近 0 时，将每月限量的资金自动转账至该钱包等诸多场景。[2020/2/5]

技术细节

PreAngel创始合伙人王利杰：区块链技术应在监管下运行:PreAngel创始合伙人王利杰认为，现在能懂区块链的人很少，但区块链已经很热，行业里的人特别痴迷，没有进场的人很不理解。互联网带来了自媒体时代，区块链带来的很可能是自金融。他表示：“区块链技术发展若干年后，银行、保险等中心化的机构可能都会被颠覆。这关系到国家稳定，所以区块链不是不能做，而是要在监管下做。”[2018/1/27]

包含该漏洞的智能合约与12月10日发布的dYdX漏洞报告中披露的漏洞相似。多亏了这份报告和我们的线人，我们发现了Sorbet上的漏洞并在黑客利用它之前进行了修正。

dYdX的情况是被告知代理智能合约存在一个关键漏洞，该合约自11月24日以来一直在处理dYdX交易所的存款。dYdX团队执行了一个白帽来拯救用户资金，总计约200万美元。这些资金被送到一个非托管的托管合约，只有这些资金的原始所有者可以取回它们。

我们敦促所有读到这篇文章的Dapp开发者仔细检查他们的智能合约，以防他们在智能合约层面上与DEX聚合器交互，以确保他们的系统没有与我们类似的漏洞。

如何避开Bug

Gelato开发团队非常清楚Solidity中的低级调用的危险性。这个bug本不应该出现在产品中，但它却出现了。这表明我们在智能合约测试和审查过程中出现了一个严重的错误。这是Gelato存在两年半以来的第一个安全漏洞，我们将通过维护和加强我们在未来所有智能合约发布中一贯的高标准，确保这将是最后一个漏洞。

与之前经过审计和实战测试的版本相比，处于风险中的智能合约只包含一个小更改。这导致我们的智能合约开发团队过早地将其发布，而没有遵循我们通常遵循的严格的安全审查过程。

这一事件其实是可以避免的，我们已经采取了一些措施，以确保这样的错误永远不会再出现。

我们的“预防针”

我们坚持Web3的最高安全标准。通过这次事件，我们了解到，无论多么小的变化，无论一个合约有多少次经过实战考验的历史，它都必须在投入使用之前进行彻底的审查和审计。

为避免此类漏洞再次发生，我们计划实施以下安全措施:

对所有新合约或由多个团队成员对这些合约的所有修改进行彻底的审查，无论修改多微小；

密切监控风险模式和之前报告的智能合约漏洞，如dYdX报告，在这个案例中，正是我们的漏洞；

评估新部署或合约修改的最坏情况，并设计应对措施；

创建bug奖励机制，鼓励外部开发人员在代码公开之前发现代码中的错误；

对已经投产几个月没有任何事故的智能合约进行持续的代码审查；

在将新特性投入使用之前，使用我们集成的协议来检查它们的集成安全性。

Bug猎人赏金

Gelato团队非常感谢那个提醒注意这个bug的人。使团队能够迅速采取行动，帮助受影响的用户挽回2600万美元的损失。?

Gelato团队将提出一个治理建议，向一路上帮助过我们的社区成员发放的bug奖励。

偿还被盗资金

我们成功地在白帽袭击时挽救所有损失。然而，直到他们撤销对SorbetFinance的批准之前，用户的资金仍然很容易受到影响。尽管我们尽了最大的努力，并让多个回收机器人持续运行，拯救那些处于风险中的资金，总金额约为744万美元被恶意搜索者窃取，这些搜索者能够在一开始的少量交易中抢先我们的机器人。从那时起，我们优化了我们的系统，并在大多数交易中击败了恶意搜索者。

Gelato团队将创建一份治理提案，以全额补偿这些损失，并由GEL持有人投票表决。由于可能出现的“假被盗”的情况，事件发生后的时间已经过去了，并且团队已经竭尽全力通知了有风险的地址，我们将不再赔偿12月20日下午13:00以后发生的任何损失。

尽管如此，我们将继续运营多个白帽机器人。在截止日期之后成功拯救的资金，减去机器人运营商在营救交易中产生的矿工费后，将被退还给用户。

总结

尽管存在漏洞，也未能遵守我们所追求的最高安全标准，但我们成功地实施了多次白帽攻击，挽救了超过2700万用户的资金。Gelato团队迅速地处理了漏洞，恢复机器人和批准撤销用户界面，Gelato团队将继续优化，为Web3生态系统带来最好的Web3自动化工具。

标签：GATTHEGATESUPgate币本位Athena Returns OleaElongate DeluxeSuper Shiba

Fil热门资讯