DeFi 安全审计的盲区，一文了解 Curve 的最新安全漏洞

原文作者是 0x 协议团队的经济学研究者 Peter Zeitz，其发现 Curve 协议智能合约存在一个严重漏洞，并为此撰写了一份报告，根据这份报告显示，尽管 Curve 和 Swerve 协议已经过了多次合约审计，但其用户仍面临着巨大的财务损失风险，因此，其认为对于智能合约审计者来说，发现利用高度专业化知识的漏洞可能并不现实。

截至发稿时，这份报告已获得了 Curve 官方的认可，而作者也因此获得了漏洞奖励，目前 Curve 正为旧的合约池部署解决方案，而新的合约池不受此漏洞的影响。

以下是漏洞报告内容：

在 9 月 19 日凌晨的几个小时，我发现了一个针对 Curve 合约的漏洞，当合约的放大系数 A 更新时，攻击者可提取大量代币余额。而使用了 Curve 合约的 Swerve，其一度更新了它的 A 系数，因此用户的潜在损失是巨大的，占到了合约余额的 36.9%，假设进行一次优化后的攻击，那么大约会损失 9200 万美元。幸运的是，Swerve 更新顺利通过，没有发生意外情况。那天下午晚些时候，我通知了 Curve 团队。几个小时后，他们确认了漏洞的存在，我们开始一起研究解决方案。

实际上，这种攻击在 A 向上和向下调整时都可能发生。但是，由于向下调整的潜在损失要大一个数量级，因此我们将重点讨论这类攻击。这些攻击的严重程度与 A 的变化幅度成正比。事实证明，代币余额份额的最大损失受如下等式的限制，其中 A_old 是初始参数值，A_new 是更新的参数值，而 n 是合约中代币类型的数量。

利用漏洞造成的损失，取决于参数 A 的百分比变化

例如，yCurve 合约的更新，发生在同一周的早些时候。该合约有 n=4 个代币类型，更新从 A_old=2000 更改为 A_new=1000。使用方程 1 中的公式，攻击者可利用该漏洞提取高达 12.9% 的 yCurve 合约余额（或大约 7700 万美元）。

这种攻击只可能在预定的参数 A 更新过程中进行。Curve 合约在正常操作下不易受到攻击，因此，没有必要采取紧急行动来保护用户资金。但是，在发生其它关于 A 的更改之前修补此漏洞是至关重要的（大幅向下调整 A 尤其危险）。Curve 团队正在对更新 A 的程序进行改进，这些改进应允许 Curve 合约以安全的方式继续更新参数 A。

1

平均数和代币联合曲线

为了理解攻击，我们有必要了解下代币联合曲线。我将解释一些概念，以便读者能够形成一个概念性的理解。我对这一主题采用了一种稍有不同的方法，重点是代币联合曲线与一组变量平均值之间的关系。

在数学中，平均数（mean）是表示一组数据集中趋势的量数。因此，如果 x_1 是 n 个数集合中最小的数，x_n 是最大的数，则这个集合的平均数将呈现为介于 x_1 和 x_n 之间的中间值。两种最常见的平均数类型是算术平均数和几何平均数。

算术平均数

几何平均数

平均数在代币联合曲线中起到了关键作用。AMM 合约允许用户交易任何组合的代币，这样 AMM 合约代币余额的平均值在交易发生前后保持不变。在不同的 AMM 设计中，会使用不同类型的平均数方法。对于 Uniswap，它使用的是未加权的几何平均数，对于 Balancer，它使用的是加权几何平均数，对于 mStable，它使用的则是未加权的算术平均数。

而 Curve 使用的是算术平均数和几何平均数的加权平均数，我称之为 Curve 平均数。Curve 平均数的权重由所谓的放大参数 A 决定。随着 A 向无穷大方向增加，Curve 的平均数收敛到 mStable 使用的算术平均数。相反，如果 A 设置为 0，Curve 的平均数将与 Balancer 和 Uniswap 使用的几何平均数相同。对于 A 的中间值，Curve 的代币联合曲线将位于这两个极端的中间。

图 1: 代币联合曲线

图 1 显示了四种代币联合曲线。Uniswap 保持几何平均常数，这产生了一个非常陡峭的曲率。mStable 则是算术平均值常量，它是一条直线，而 Curve 则位于两者之间。在参数值 A=1 时，Curve 类似于 Uniswap，在 A = 10 时，Curve 更接近于 mStable。

2

平均数和 AMM 合约持有的价值

参考图 1，我们可以看到，所有四条曲线在距离图形原点 45 度线的一个点相交。我们可以利用这个交点到原点的距离，来快速测量 AMM 合约代币投资组合的价值。例如，如果这个交叉点到原点的距离增加了 20%，那么，假设没有无常损失，AMM 合约持有的价值也将增加 20%。这适用于我们所有的四种联合曲线类型。当我们考虑 Curve 时，这一特性尤其有用，因为 Curve 具有一个独特的特性：当 A 更新时，其联合曲线的形状会发生变化。对于 Curve，我们可以使用距离原点的距离来衡量参数更新前后合约投资组合的价值。显然，如果在更新 A 之后这个距离明显减少，这将是一个严重的问题。

3

关于参数 A 的盈亏平衡更新

再次参考图 1，假设 Curve 合约的代币余额正好位于 45 度线的交点处。当所有 Curve 代币以一比一的价格比率交易时，就会出现这种情况。从这个起点更新 A 时，就没有货币损失的风险。例如，假设 Curve 从这一点开始将参数设置 A_old = 10 改为 A_new =1。此更新不会更改联合曲线到原点的距离。因此，参数变化将是完全无害的，不会使 Curve 流动性提供者（LP）面临财务损失的风险。直觉上，如果初始余额不完全在交叉点，但接近于这个交点，则损失的风险仍然很小。

4

关于参数 A 的亏损更新

现在让我们看看图 2。该图说明了当更新 A 时，攻击者如何可能操纵初始条件以实现巨大的利润。为了便于说明，我展示了从 A_old = 10 到 A_new = 1 的变化，而不是 Swerve 从 A_old =1000 到 A_new =100 的更新。然而，事实证明，漏洞的严重程度只取决于新旧比率，因此该数字准确地描述了 Swerve 的情况。另外，图中所示的攻击只捕获了合约代币库存的 15%。而一个完全优化的攻击将交易更极端的金额，从而可捕获多达 36.9% 的代币库存。

图 2：在恶意交易之间增加一个变化

假设 Curve 合约余额最初位于 45 度线的交点处，且初始参数值为 A_old=10。现在假设一个攻击者在两笔恶意交易之间夹了一个参数更新。在第一次恶意交易中，攻击者出售大量代币，以导致库存失衡。接下来，攻击者将触发一个更新，更新的值为 10 和 1。如图所示，这会改变曲线的形状。最后，攻击者以更低的价格买回他出售的代币。此操作将使合约沿 45 度线返回到完全平衡的状态。如图所示，此次攻击将导致 AMM 代币库存的 15% 丢失。

5

利用漏洞的可行性

那这样的攻击真的有可能吗？令人惊讶的是，答案是 yes。Curve 合约要求提前几天安排 A 的变更，并通过去中心化的链上治理流程达成共识。但是，一旦通过治理批准了 A 中的更改，并且超过了激活截止日期，合约允许任何调用方触发更新。因此，攻击者可自由地从 Uniswap 快速租借大量稳定币，将其出售给 Curve 以触发极端不平衡，触发对 A 的更新，然后从 Curve 购买稳定币以获得巨大的利润。而完全优化的攻击会涉及到更多，这里就不再深入细节。而我上面所描述的简单攻击，就足以捕获大部分潜在利润。

6

修复关于 A 更改的智能合约逻辑

目前，Curve 合约有两个生产版本。对于未修补的旧版合约，上面提到的内容就是漏洞的原理。而对于较新的合约，仍然存在一个潜在的漏洞，尽管其严重性要小的多。我将首先描述旧合约的建议更改。

7

修复旧 Curve 合约

在旧的 Curve 合约中，A 的变化发生在一个大的离散步骤中。此外，合约逻辑允许攻击者在单笔交易中以不同的 A 值执行交易。特别是，攻击者可以利用其初始交易来迫使库存极度失衡，然后触发 A 的变化，然后以更新后的 A 值执行更多交易。这使攻击者可执行涉及数以亿计资金量交易的整个攻击，而不会涉及到风险。为了解决这个问题，我建议更新旧的合约，以便只有受信任的多重签名帐户才能激活对 A 的更新。

此外，激活 A 应需要检查代币余额，以确认代币余额从广播参数更新交易的时间点起没有发生显著变化。这种余额检查可防止流氓矿工的攻击。特别是，一个流氓矿工可重新排序交易，这样他在更新 A 之前执行一笔大交易，然后在 A 更新后执行另一笔大交易。

余额检查可防止在合约处于意外不平衡状态时激活对 A 的更改，这足以保护 Curve LP 免受此类攻击。

8

修复新的 Curve 合约

在较新的 Curve 合约中，A 的变化是在每次交易开始前以一系列离散的小步骤逐渐发生的。我的理解是每一区块只能调整一步。此外，合约要求在执行任何交易之前进行预定的步骤调整。这足以抵御普通攻击者，但不一定能抵御流氓矿工。特别是，一个流氓矿工可以连续铸造两个区块，并在两个区块中插入恶意交易。这将允许矿工在第一个区块中以较高的 A 值进行初始交易，并在第二个区块中以较低的 A 值进行最终交易。更糟糕的是，流氓矿工有一个扩展的窗口来尝试这些攻击。只要 A 还在更新过程中，流氓矿工就可以继续尝试挖取两个区块序列。

为了保护这些较新的合约，我建议将 A 中的步骤长度减小到每个区块不超过 0.1%。为什么小的的步骤长度有帮助？这涉及到一个我还没有介绍的因素 ——Curve 合约会收取一笔费用，由于这笔费用，任何交易都会导致代币联合曲线稍微偏离原点。这也适用于攻击者的巨额交易，这使得攻击的利润略有下降。如果 A 的变化足够小，则完全优化的攻击所获得的收益，将被攻击者支付给合约的费用所抵消。因此，攻击者再也不可能通过在两笔交易之间夹杂一个变化来获利。

9

关于安全审计和智能合约设计的经验教训

关于这种攻击，它要求设计者深入理解代币联合曲线，对于智能合约审计者来说，发现利用高度专业化知识的漏洞可能并不现实。实际上，Curve 合约已经过了多次安全审计，在我写这篇文章时，Swerve 合约刚刚通过了另一次审计。在我看来，一个通用的，可通过强力探测而不是理论检测的漏洞审计程序，将是非常有用的。为了检测这类漏洞，我建议代币联合曲线审计纳入任意两步交易程序的模拟。在这些过程中，审计人员将针对合约运行一笔随机交易，触发一个智能合约操作，然后运行另一笔随机交易。在此，智能合约操作将激活对 A 的更新。对于此漏洞，此模糊测试过程将揭示合约遭受灾难性损失的场景。然后，审计人员可以进一步调查，以了解根本原因。

对于智能合约设计师来说，了解审计的局限性是有帮助的。当合约允许一次执行一系列复杂的交互时，全面的模糊测试就变得不可行了。问题在于，用户交互的可能组合太多，我们无法探究每一种可能性。因此，限制用户在短时间内可采取操作的数量和种类是很有帮助的。这里的想法是避免创建一个非常复杂的智能合约，以至于无法通过暴力手段进行审计。

感谢 Curve 团队为我的漏洞报告工作支付了一笔非常慷慨的漏洞奖金，另外，特别要提下我在 0x 的好友 Greg Hysen，是他挖掘了 Curve 的代码，帮助我理解更新 A 的智能合约逻辑。

欢迎加入社群，与我们讨论如何参与更多 DeFi 项目、探索 DeFi 规则原理~

加入方式：扫码关注，后台点击【加入社群】

DeFi 之道公众号后台

回复“财富”获取 DeFi 热门项目白皮书合集 !

回复“研究”获取 DeFi 研究报告合集！

回复“论文”获取 DeFi 相关论文合集！

干货持续更新中，敬请关注……