有报告称 Vyper 0.2.15、0.2.16 和 0.3.0 版本存在漏洞,导致 Curve 上的许多池有遭受重入攻击的风险。该漏洞允许攻击者在移除流动性过程中调用添加流动性函数。
目前,总共有6,930万美元受到影响,其中1,670万美元已被白帽黑客追回。这也意味着此次事件造成了5,200万美元被盗,成为了2023年迄今为止金额最高的重入攻击。
2023年7月30日,专为以太坊虚拟机(EVM)设计的面向合约的编程语言 Vyper 编译器0.2.15、0.2.16 和 0.3.0 版本被宣布存在重入锁失效漏洞。多个 DeFi 项目受到该漏洞的影响,损失总额达 5,200 万美元。
CertiK 已确定有六个地址涉及此次事件。第一个(0x172)未能利用区块 17806056 中的漏洞。最初的漏洞利用者从 Tornado Cash 提取了 0.1 ETH,并继续创建攻击合约。然而,一个跑在前面的钱包(0x6Ec21)支付了更多的gas费用,并率先执行了交易,获得了大约 6,100枚WETH(1,140 万美元)。
CertiK:有黑客在ElseVerse World项目Discord服务器中发布钓鱼链接:金色财经报道,据CertiK官方推特发布消息称,有黑客在ElseVerse World项目Discord服务器中发布钓鱼链接。请勿点击链接获批准任何交易。[2023/7/19 11:03:42]
由MEV机器人在前置交易失败的漏洞 来源:Etherscan Etherscan
该漏洞导致了进一步的损失:EOA 0xDCe5d 获得了价值约 2,100 万美元的资产。涉案钱包明细如下图:
共有6个项目受到影响,约有6,930万美元被盗走,其中1,670万美元已被归还,总计损失约为5,200万美元。
Vyper 是以太坊虚拟机(EVM)的一种面向合约的 pythonic 编程语言。Vyper 的测试版从 2017 年就开始有了,但其首个非测试版本是于2020年7月发布的 0.2.1 版。
Solidity是以太坊生态系统中的主流语言,它比Vyper存在的时间要长得多,因此许多社区成员创建了专门使用 Solidity 运行的工具。根据 DeFiLlama 的数据显示,在DeFi协议中价值约700 亿美元的总锁仓价值(TVL)中,Vyper 智能合约占 21.7 亿美元,而 Solidity 则占绝大多数,高达 674.9 亿美元。
HyperGraph 挖矿和通证合约通过CertiK审计:据官方消息,HyperGraph 挖矿和通证合约日前通过了CertiK的审计,CertiK 对HyperGraph合约进行了审计,并就相关逻辑与开发团队进行了反复讨论和确认沟通。CertiK的报告也就某些逻辑的开发提出了很好的意见和改进建议,这对于团队后续的智能合约开发很有帮助。[2021/5/26 22:47:04]
根据语言划分的总锁仓价值 来源:DeFiLlama
截至2023年5月10日,Vyper的主导地位从 2020 年8月的30%高点降至 6.27%。尽管 Vyper的TVL 主导地位明显低于Solidity,但这一事件仍导致6,200万美元受到影响。
不同编程语言在 TVL 中的主导地位 来源:DeFiLlama
编译器版本
编译器版本是指编程语言编译器的特定版本,编译器将人类可读的源代码转换为机器可读的代码。
Aragon与Balancer将为Snapshot各提供10万美元开发奖励:DAO解决方案提供商Aragon (ANT)宣布 Aragon Association将与Balancer Labs合作,将为Snapshot代码库贡献代码,并提供价值10万美元的ANT,同时Balancer Labs将承诺提供10万美元的 BAL (取决于 BAL 治理批准),两种代币都将进入一个50/50的Balancer池,用于Snapshot的开发和资金奖励。此前,Aragon 基于Snapshot和Aragon法庭(Aragon Court)推出一项结合链下投票和链上治理的治理解决方案,Snapshot提供链下投票,允许社区用户在链下进行投票,Aragon法庭将进行链上治理,包括审理诉讼以及执行等。[2020/10/7]
编译器版本会定期更新,以引入功能、修复漏洞并增强安全性。Vyper 语言目前不提供白客漏洞悬赏计划。
版本 0.2.15 - 0.3.0
上文提到的就是Vyper 的0.2.15、0.2.16 和 0.3.0版本中发现了漏洞,导致了多个DeFi项目遭到重入攻击。
而最早的Vyper 漏洞版本 0.2.15 发布于2021年7 月23日。到同年12月发布 0.3.1 版时,之前的漏洞已不复存在。
动态 | EOS42提出 对reg_producer 合约的修改建议 包含惩罚节点的措施:据 IMEOS 报道,EOS42 发文阐述了对 reg_producer 合约的修改建议,包含了惩罚节点的措施。EOS42 将 reg_producer 分解为三个主要目标:通过在reg_producer 合约中设定标准的方式,使得可以对出块节点问责,其最终目的是确保 EOS 网络性能足以为 DAPPs 提供可靠支持,帮助 EOS 代币持有人进行明智投票,并通过客观地保留不能变更的 EOS 区块链的方式保护 EOS 用户。[2019/2/15]
时间线
事件最初开始于北京时间7月30日晚9点10分,攻击者针对Curve 上 JPEG’d池的交易由于前置运行交易而失败。
北京时间7月30日晚10点,JPEG‘d 确认 pETH-ETH Curve池已被恶意利用。
Vyper 随后宣布,0.2.15、0.2.16 和 0.3.0 版本包括了一个失效的重入锁。Vyper 发布推文后,Metronome 和 Alchemix 也受到了影响。
动态 | 本体宣布与美国形式化验证公司CertiK展开战略合作:7月17日消息,本体(Ontology)宣布与美国形式化验证公司CertiK展开战略合作,双方将深耕形式化验证领域,增强智能合约和区块链系统的安全性和可靠性。[2018/7/17]
Metronome DAO 宣布消息:
北京时间第二天凌晨,Curve Finance在 Discord 上发布公告称,剩余的资金池不受Vyper Bug的影响,是安全的。
Curve Finance 在 Twitter 上宣布,Arbitrum上的一个资金池有可能受到影响,但没有可供恶意行为者执行的有利可图的漏洞,这意味着资金池不太可能受到攻击。CertiK也尚未检测到任何其他利用Vyper漏洞的攻击。
以下是以JPEG’d为目标的交易示例:
攻击者: 0x6ec21d1868743a44318c3c259a6d4953f9978538
攻击合约: 0x466b85b49ec0c5c1eb402d5ea3c4b88864ea0f04#code
1. 攻击者首先从 Balancer:Vault中借入80,000 WETH (约合149,371,300美元)
2. 然后,攻击者将WETH 换成 ETH,调用 pETH-ETH-f.add_liquidity(),将 40,000 ETH(约合74,685,650美元)添加到 pETH-ETH-f 池中。作为回报,攻击者收到了32,431枚pETH(pETH-ETH-f)。
3. 攻击者调用 remove_liquidity() 删除了在步骤2中添加的流动性。3,740 pETH 和 34,316 ETH 被转入攻击合约,攻击合约的 fallbak() 函数被触发了,将控制权交给了攻击者。在 fallback() 函数中,攻击者又向 pETH-ETH-f 池中添加了40,000 ETH的流动性,并收到了 82,182 pETH。
4. 攻击者再次调用remove_liquidity(),取出10,272pETH,收到47,506 ETH和1,184pETH。然后,攻击者在pETH-ETH-f 池中用4,924枚 pETH交换了4,285枚ETH。
总的来说,攻击者从第3步获得了34,316枚ETH,从第4步获得了47,506和 4,285枚ETH,共计 86,107枚ETH。在偿还了 80,000 ETH闪电贷后,攻击者还剩下6,107 ETH(约11,395,506美元)。
该漏洞允许攻击者在移除流动性过程中调用添加流动性函数。虽然这些函数本应受到 /img/202386163346/14.jpg" />
Vyper_contract for Curve.fi Factory Pool 数据源: Etherscan
继利用 JPEG'd、Metronome 和 Alchemix 漏洞之后,Vyper 的 v0.2.15、v0.2.16 和 v0.3.0 版本确实存在重入保护失败的漏洞。
使用易受攻击的Vyper版本的项目应联系 Vyper协助进行缓解。项目也应尽量升级到不含此漏洞的最新版Vyper。
Vyper被攻击事件是CertiK2023 年检测到的最大的重入漏洞。就资金损失而言,该攻击损失金额占据了此类事件的78.6%。
今年两起最大的重入漏洞,都是利用Vyper编写的合约,尽管漏洞并不相同。
目前,2023 年所有链中因重入攻击造成的损失已超过 6,600 万美元。这比 2020年全年多出约400万美元,仅比 2021年的损失额少100万美元。值得注意的是,2023年的总额也比 2022 年因重新定位攻击造成的损失增加了 259.45%。
CertiK中文社区
企业专栏
阅读更多
Foresight News
金色财经 Jason.
白话区块链
金色早8点
LD Capital
-R3PO
MarsBit
深潮TechFlow
作者:Mia,链捕手近日,Base 上的 Meme 龙头 Bald 一日千倍引发加密社区热烈讨论,而当大家正沉浸在“Blad 是否会创造新一轮暴富神话”的思考中.
1900/1/1 0:00:00作者:Felix, PANews8月4日,上市美国加密交易所Coinbase (COIN) 公布第二季度财报,因财务业绩好于预期,根据TradingView 的数据.
1900/1/1 0:00:00用“大起大落”这个词来形容今年6月以来BTC的走势一点都不为过,准确来说应该是先大落后大起。BTC价格首先在六月初受币安被起诉黑天鹅事件叠加美债抽取流动性等负面因素影响,BTC一度跌至最低248.
1900/1/1 0:00:00原文作者:Matias Andrade Cabieses 原文编译:深潮 TechFlow数字资产投资领域的一个重大进展是即将推出现货交易所交易基金(ETF).
1900/1/1 0:00:00老样子,任务不算多,步骤也挺简单的。https://quest.intract.io/quest/ 64 c 2 bb 4 e&nbs.
1900/1/1 0:00:00DeFi数据1、DeFi代币总市值:494.95亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量38.
1900/1/1 0:00:00
火星链