火星链 火星链
Ctrl+D收藏火星链
首页 > SAND > 正文

NFT:多个项目因Vyper重入锁漏洞造成的损失已超5900w美元 你的资金还安全吗?

作者:

时间:1900/1/1 0:00:00

2023年7月30日晚,多个项目迎来至暗时刻。

7 月 30 日 21:35左右,据Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,NFT 借贷协议JPEG'd项目遭遇攻击。

在Beosin安全团队正在分析之时,又有几个项目接连受损。

7 月 30 日 22:51左右,msETH-ETH池子被黑客突袭。

7 月 30 日 23:35左右,alETH-ETH 池子被同样的攻击方式破解。

紧接着,DeFi项目Alchemix、Metronome 项目归属的流动性池子相继遭遇攻击。

同一个攻击方式,被黑客多次利用,到底是哪里出了问题?

根据7 月 31 日凌晨以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁有漏洞,加上原生的ETH可以在转账时调callback,导致这几个和ETH组的lp池子可以被重入攻击。

优博讯:web3.0未来发展方向涵盖人工智能、区块链、数字货币、物联网等多个方面:12月6日消息,优博讯12月5日在投资者互动平台表示,目前对web3.0的定义还没有一个统一的认识,我认为web3.0会以感知网络为主,再结合人工智能,利用计算机进行对数据的识别和分类。移动互联网和物联网的结合将成为其主要趋势。web3.0未来发展方向涵盖人工智能、区块链、数字货币、物联网等多个方面。[2022/12/6 21:24:26]

接着Curve官方推特发文表示,由于重入锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,但其他池子是安全的。

以下为本次黑客攻击事件涉及的相关交易

与FTX相关的一百多个企业已申请破产:11月12日消息,据The Block Research收集的数据,FTX Ventures和Alameda Research已经投资了超过250家加密货币行业的初创公司。与FTX有关的100多个企业实体,包括Alameda Research和FTX US,在周五申请了破产保护。(The Block)?[2022/11/12 12:54:39]

●攻击交易

0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964 0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

日本多个党派在7月份参议院选举承诺中提及Web3和加密税制改革:6月23日消息,日本自民党已将Web3相关内容纳入将于下个月投票的参议院选举承诺中。日本自民党在承诺书中表示:“为了发展区块链、NFT和元宇宙等新技术而建立的Web3新数字经济,我们将改善包括人力资源开发和国际化的环境,在社会中发挥主导作用。”

此外,日本维新党也在其政策提案中宣布将推进加密资产税制改革。日本人民民主党也在其与选举相关的网站上承诺:“为了促进Web3等NFT的经济发展,我们不会将加密资产作为杂项收入征税,而是单独征税20%。发行方持有的代币仅会在产生实际收益时征税。”

此前消息,日本政府于6月7日批准《2022年经济财政运营和改革的基本方针》,其中提及计划全面改善Web3环境。(Coinpost)[2022/6/23 1:26:41]

0xcd99fadd7e28a42a063e07d9d86f67c88e10a7afe5921bd28cd1124924ae2052

●攻击者地址

0xC0ffeEBABE5D496B2DDE509f9fa189C25cF29671

NFT基金StarryNight将多个NFT转至新钱包,或与三箭资本相关联:6月15日消息,CoinMetrics分析师Kyle Waters发推称,过去24小时,三箭资本支持的NFT基金StarryNight已经将其在SuperRare平台上总计70件收藏品全部清空。自去年8月以来,该基金已花费2100多万美元购买这些NFT。

据悉,2021年8月,NFT收藏家Vincent Van Dough与三箭资本联合创始人Kyle Davis及首席执行官Zhu Su合作推出NFT基金StarryNight。其目标是筹集1亿美元,用于收集最好的NFT收藏品。该基金已收藏大量加密艺术品,其中包括一些知名作品,比如去年以超过100万美元价格成交的Lost Robbie。

其在SuperRare上的所有收藏品与Art Blocks、KnownOrigin、Foundation和其他加密艺术项目收藏品一起发送到一个地址。似乎正在进行某种形式的整合。新钱包疑似与其他三箭资本钱包有一些关联。[2022/6/15 4:28:19]

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8

行情 | BitMax交易平台多个币种24小时涨幅超5%:据BitMax(BTMX.COM)官网显示,截止今日11:00其平台上多个币种24小时涨幅超5%:HPB(18.29%)、COTI(8.17%)、BXA(6.54%)、MATIC(6.04%)。[2020/2/23]

0x6Ec21d1868743a44318c3C259a6d4953F9978538

0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324

●被攻击合约

0xc897b98272AA23714464Ea2A0Bd5180f1B8C0025

0xC4C319E2D4d66CcA4464C0c2B32c9Bd23ebe784e

0x9848482da3Ee3076165ce6497eDA906E66bB85C5

0x8301AE4fc9c624d1D396cbDAa1ed877821D7C511

根据Beosin安全团队的分析,本次攻击主要是源于是Vyper 0.2.15的防重入锁失效,攻击者在调用相关流动性池子的remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。

黑客攻击准备阶段,首先通过balancer:Vault闪电贷借出10,000枚ETH作为攻击资金。

1. 第一步,攻击者调用add_liquidity函数将闪电贷借入的5000ETH添加进池子中。

2.第二步,随后攻击者调用remove_liquidity函数移除池子中的ETH流动性时再次重入进add_liquidity函数添加流动性。

3. 第三步,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。值得注意的是remove_liquidity函数和add_liquidity函数已经使用了防重入锁防止重入。

4.因此这里防重入存在并未生效,通过阅读如下图所示的左边存在漏洞的Vyper代码可以发现当重入锁的名称第二次出现的时候,storage_slot原有数量会加1。换而言之,第一次获取锁的slot为0,但是再次有函数使用锁后slot变为1,重入锁此时已经失效。

https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f

截止发文时,本次攻击事件损失的资金已超5900W美元,Beosin KYT监测到目前c0ffeebabe.eth地址已归还2879个ETH,被盗资金仍在多个攻击者地址上。

关于本次事件造成的影响,7月31日消息,币安创始人赵长鹏CZ发推称,CEX喂价拯救了DeFi。币安用户不受影响。币安团队已检查Vyper可重入漏洞。币安只使用0.3.7或以上版本。保持最新的代码库、应用程序和操作系统非常重要。

7月31日消息,Curve 发推称,由于版本 0.2.15-0.3.0 中的 Vyper 编译器存在问题,CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻击。此外,Arbitrum Tricrypto 池也可能会受影响,审计人员和 Vyper 开发人员暂未找到可攻击漏洞,但请退出使用。

可以看到本次事件造成的影响依然没有结束,这些池子有资金的用户还需要多加注意。

针对本次事件,Beosin安全团队建议:当前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入锁均存在失效的问题,建议相关项目方进行自查。项目上线后,强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息,及时规避安全风险。

Beosin

企业专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

标签:ETHNFTDITUIDeth钱包地址在哪里NFTS价格LBRY Creditssquid币价格今日行情

SAND热门资讯
POL:MATIC将升级为POL 通胀大门就此打开?

7 月 13 日,以太坊扩容解决方案Polygon官方宣布,作为 Polygon 2.0 路线图的一部分,已提议对其原生代币 MATIC 进行技术升级.

1900/1/1 0:00:00
UNI:金色图览 | NFT行业周报(7.02 - 7.08)

【07.02 - 07.08】周报概要:1、上周NFT总交易额:147,137,111(美元)2、上周NFT总交易笔数:275.

1900/1/1 0:00:00
OLY:Messari:2023第二季度 Polygon 发展概况

作者:Nicholas Garcia 翻译:火火/白话区块链关解要点:1.Polygon Labs 推出了 Polygon 2.0,这是一个零知识第 2 层区块链网络.

1900/1/1 0:00:00
BAL:晚间必读 | 加密行业的困境与机遇

2023年8月1日,币安宣布上线第36期Launchpool挖矿项目Sei。用户可以在2023年08月02日08:00(UTC+8时间)后将BNB、TUSD、FDUSD投入到SEI挖矿池中获得S.

1900/1/1 0:00:00
BSP:引入时间概念 更好的XEN正在路上?

在去年的十月,以太坊的 Gas 价格突然暴涨,而这一情况的源头可以追溯到 XEN Crypto 项目.

1900/1/1 0:00:00
CON:ConsenSys L2网络Linea主网本周上线 你需要知道的一切

作者:Linea,翻译:金色财经xiaozou在成功的公共测试网络之后,Linea来到了一个里程碑,它让我们离一个更可扩展的以太坊又近了一步。现在,Linea开始招募发行合作伙伴.

1900/1/1 0:00:00