火星链 火星链
Ctrl+D收藏火星链
首页 > PEPE > 正文

NBS:Vyper 被黑的时间线和反思

作者:

时间:1900/1/1 0:00:00

"Trust but verify"(信任,但要核查),不要做“事后诸葛亮”。最厉害的 bug 都是灯下黑。

衍生品协议Vyper Protocol将从Serum DAO获得50万枚SRM开发赠款:金色财经消息,链上衍生品协议Vyper Protocol宣布其从Serum DAO申请50万枚SRM的开发赠款获得批准。Vyper Protocol已于上周上线devnet,允许用户创建、交易和结算链上衍生品。[2022/7/25 2:36:41]

这是一场与黑客的竞赛。

值得庆幸的是,人们还将其与只读重入混淆。摘自 “Web3 安全警报” 频道-Alchemix 和 Metronome DAO 也因只读重入 bug 遭到黑客攻击

Michael 发现运行 0.2.15 版本的 alETH 和 msETH 池也存在潜在漏洞。

14:50 UTC msETH/ETH 被耗尽。

15:34 UTC alETH/ETH 被耗尽。

15:43 UTC 我们发现用 Vyper 版本 0.3.0 编译的CRV/ETH 存在漏洞。我们必须尽可能长时间保密受影响的合约,这一点至关重要。

16:11 UTC 我们开始研究白帽漏洞。

不幸的是,太多的组织在同时进行独立研究,谣言四起。16:44 UTC,我们决定针对受影响的版本发布公开声明。

到 18:32 UTC,我们有了一个可用于潜在白帽拯救的概念证明漏洞。Chainlight 的 bpak 也同时在研究一个漏洞,并于 19:06 UTC 分享。

五分钟后,19:11 UTC,有人盗走了资金。

攻击结构与我们的概念证明有很大不同,不太可能是我们团队泄密。无论如何,这非常令人沮丧。

尽管如此,还有很多事情要做。

21:26 UTC Addison 提出了一个雄心勃勃的计划,拯救 CRVETH 池中的剩余资产。

21:52 UTC bpak 做了一个可行的概念证明,可以拯救 3100 ETH。

十分钟后,22:02 UTC,我们再次被击败。出乎意料的是,CRV 管理费用机器人已被取走资金,并且池子已耗尽。

责备(Balme) 是一个很强烈的词。指责是没有用的。我认为思考一下哪些方面可以做得更好才是有用的。

白帽的努力都在不到半小时的时间内被击败。有时候,每一秒都非常重要。

也许可以有更好的准备和资源来执行这些攻击。同时,这似乎是一把双刃剑。把如何执行黑客攻击的信息汇总起来真的是个好主意吗?我们应该信任谁?

另一方面,我认为整个过程非常有效。我们在 2 小时 4 分钟内从最初的怀疑到确认出谁易受攻击。

我既是审计员又是白帽黑客。

审计行业有着特有的发布文化。我们因技术思想领先和对漏洞的深刻理解而获得报酬。证明他们的领先与深刻的一种方法是发布有关黑客行为的“独家新闻”。研究人员花费巨大,而投资的回报就是宣传。

另一方面,有一个令人信服的论点认为:受影响版本的早期披露会对白帽拯救产生重大影响。

如果再多半小时,就可以拯救 1800 万美元。

审计师不会为他们的报告所造成的影响付出代价。相反,他们会得到点赞、转发和报道。这似乎是一个问题。

我不同意“我们需要形式化验证来解决这个问题”之类的观点。这个错误可以通过单元测试来捕获。形式化验证对于许多错误类型都非常有用,但我不相信它对于相对简单的、未优化编译器也同样有用。

需要注意的是,这个错误在 2021 年 11 月已修复。

我认为这个 Vyper 漏洞不是 Vyper 团队的技术或语言本身的问题,更多是流程问题。这个错误在很久以前的版本已被修复,但在修复的时候并没有意识到它的潜在影响。

不幸的是,公共物品很容易被忽略。由于合约不可变性,项目会隐性依赖多年前编写的代码。协议开发人员和安全专家应该了解整个执行堆栈的最新安全开发情况。

登链社区

个人专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

标签:NBSBSPETHUTCnbs币发行量BSPAY价格SETHDonutCat

PEPE热门资讯
MIC:MicroStrategy计划出售股票筹集7.5亿美元购买比特币

作者:FELIX NG,COINTELEGRAPH;编译:松雪,金色财经总部位于美国的软件开发公司 MicroStrategy 计划通过股票发行筹集最多 7.5 亿美元.

1900/1/1 0:00:00
GAN:有多少潮人正在和AI谈恋爱

作者:远川研究所知名主播Atrioc不幸成为了首个因AI社死的公众人物。事故发生在2023年1月,Atrioc正如往常般直播,一些观众却发现了异样:他的网页浏览器,似乎打开了某种特定类型的网站.

1900/1/1 0:00:00
RAM:Grayscale回顾7月市场:加密货币与软着陆梦想

原文作者:Zach Pandl  原文编译:Luffy,Foresight News自 2022 年底以来,数字资产市场已经出现了明显的复苏迹象,加密行业正受益于技术和立法的进展.

1900/1/1 0:00:00
HTT:慢雾:被盗急救指南之链上留言

背景据慢雾发布的《2023 上半年区块链安全与反总结》 的数据,2023 上半年,遭受攻击后仍能全部或部分收回损失资金的事件共有 10 起.

1900/1/1 0:00:00
比特币:如何正确分析FDV:不要被估值大小误导 考虑代币稀释效应

完全稀释市值,通常在加密货币领域被称为 FDMC 或完全稀释价值(FDV),是一个将股票市场概念扭曲成加密货币的概念。该概念旨在捕捉协议的稀释性质.

1900/1/1 0:00:00
DEX:玩转 Base 指南: 除了模因币外 Base 链还有哪些值得参与的项目?

由 Coinbase 基于 OP Stack 推出的 L2 网络 Base 最近引起了加密社区的热议,原因在于发行于 Base 之上的模因币 BALD 造就了“一日百倍神话”.

1900/1/1 0:00:00