链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 火必 > 正文

ANC:CertiK:Vyper 5200万美元损失 事件详解_GEM

作者:

时间:

有报告称 Vyper 0.2.15、0.2.16 和 0.3.0 版本存在漏洞,导致 Curve 上的许多池有遭受重入攻击的风险。该漏洞允许攻击者在移除流动性过程中调用添加流动性函数。

目前,总共有6,930万美元受到影响,其中1,670万美元已被白帽黑客追回。这也意味着此次事件造成了5,200万美元被盗,成为了2023年迄今为止金额最高的重入攻击。

2023年7月30日,专为以太坊虚拟机(EVM)设计的面向合约的编程语言 Vyper 编译器0.2.15、0.2.16 和 0.3.0 版本被宣布存在重入锁失效漏洞。多个 DeFi 项目受到该漏洞的影响,损失总额达 5,200 万美元。

CertiK 已确定有六个地址涉及此次事件。第一个(0x172)未能利用区块 17806056 中的漏洞。最初的漏洞利用者从 Tornado Cash 提取了 0.1 ETH,并继续创建攻击合约。然而,一个跑在前面的钱包(0x6Ec21)支付了更多的gas费用,并率先执行了交易,获得了大约 6,100枚WETH(1,140 万美元)。

CertiK:Base生态项目RocketSwap遭到漏洞攻击:金色财经报道,据CertiK官方推特发布消息称,Base生态项目RocketSwap遭到漏洞攻击。攻击者将被盗资产桥接至以太坊,导致损失471枚ETH(约合86.8万美元)。攻击者地址:0x96c0.....3DE8。[2023/8/15 21:24:02]

由MEV机器人在前置交易失败的漏洞 来源:Etherscan Etherscan 

该漏洞导致了进一步的损失:EOA 0xDCe5d 获得了价值约 2,100 万美元的资产。涉案钱包明细如下图:

共有6个项目受到影响,约有6,930万美元被盗走,其中1,670万美元已被归还,总计损失约为5,200万美元。

Vyper 是以太坊虚拟机(EVM)的一种面向合约的 pythonic 编程语言。Vyper 的测试版从 2017 年就开始有了,但其首个非测试版本是于2020年7月发布的 0.2.1 版。

Solidity是以太坊生态系统中的主流语言,它比Vyper存在的时间要长得多,因此许多社区成员创建了专门使用 Solidity 运行的工具。根据 DeFiLlama 的数据显示,在DeFi协议中价值约700 亿美元的总锁仓价值(TVL)中,Vyper 智能合约占 21.7 亿美元,而 Solidity 则占绝大多数,高达 674.9 亿美元。

Gnosis就是否允许锁定在Balancer池中的GNO参与快照建议投票发起提案:据官方博客消息,DeFi预测平台Gnosis发起一项提案,以确定GnosisDAO是否应该允许使用锁定在Balancer池中的GNO对快照建议进行投票。[2020/12/17 15:27:26]

 根据语言划分的总锁仓价值 来源:DeFiLlama

截至2023年5月10日,Vyper的主导地位从 2020 年8月的30%高点降至 6.27%。尽管 Vyper的TVL 主导地位明显低于Solidity,但这一事件仍导致6,200万美元受到影响。

 不同编程语言在 TVL 中的主导地位 来源:DeFiLlama

编译器版本

编译器版本是指编程语言编译器的特定版本,编译器将人类可读的源代码转换为机器可读的代码。

编译器版本会定期更新,以引入功能、修复漏洞并增强安全性。Vyper 语言目前不提供白客漏洞悬赏计划。

Ocean Protocol与Balancer Labs合作将创建数据自动做市商:9月24日消息,基于区块链的数据货币化创业公司OceanProtocol宣布将与BalancerLabs合作,创建首个用于数据的自动做市商(AMM)。据悉,OceanProtocol旨在帮助个人和企业解锁数据并将其货币化,将数据和人工智能的好处扩展到少数囤积、控制并从中致富的组织之外。Ocean创始人TrentMcConaghy表示,创建高效的数据市场是实现这一目标的关键,因此与BalancerLabs达成合作。(CoinDesk)[2020/9/24]

版本 0.2.15 - 0.3.0

上文提到的就是Vyper 的0.2.15、0.2.16 和 0.3.0版本中发现了漏洞,导致了多个DeFi项目遭到重入攻击。

而最早的Vyper 漏洞版本 0.2.15 发布于2021年7 月23日。到同年12月发布 0.3.1 版时,之前的漏洞已不复存在。

时间线

事件最初开始于北京时间7月30日晚9点10分,攻击者针对Curve 上 JPEG’d池的交易由于前置运行交易而失败。

北京时间7月30日晚10点,JPEG‘d 确认 pETH-ETH Curve池已被恶意利用。

yinsure.finance将提供Balancer等相关保险产品,无需KYC/AML:yearn.finance在推特发布yinsure.finance更新信息(目前请勿使用):涵盖Balancer、Compound、Curve、Synthetix和yearn.finance的保险合约部署,无需KYC/AML。以NFT(基于ERC721)的形式将保险单代币化。承保人是Nexus Mutual。根据官方昨日的推文,yinsure.finance正在针对这些产品完成测试和实际演练,然后将面向有限的用户开放。

yearn创始人Andre Cronje表示,保险单代币化意味着可以由一般市场进行风险调整。这也意味着分销商可以在二级市场上购买和转售,同时允许将来有其他基于保险的衍生产品。

据此前报道,8月17日,Cronje宣布推出去中心化的保险类服务原型yinsure.finance,将于接下来的几周里系统性地发布产品。该产品将包含三个核心部分:承保人金库、投保人金库和索赔治理。承保人金库的保险服务是由流动性提供方(LP)提供的,但是可以获得相关的费用作为收入。首个上线的承保人金库是yiUSDC,首个提供的投保人金库是yVault中的yUSD(包裹的yCRV)资产。[2020/8/30]

Vyper 随后宣布,0.2.15、0.2.16 和 0.3.0 版本包括了一个失效的重入锁。Vyper 发布推文后,Metronome 和 Alchemix 也受到了影响。

动态 | 百货公司Pricerite宣布开始接受BTC、ETH、LTC支付:百货公司PriceRite宣布将在其商店接受加密货币BTC、ETH、LTC付款。其中,中国香港地区的MegaBox购物中心将立即启动。[2019/8/29]

Metronome DAO 宣布消息:

北京时间第二天凌晨,Curve Finance在 Discord 上发布公告称,剩余的资金池不受Vyper Bug的影响,是安全的。

Curve Finance 在 Twitter 上宣布,Arbitrum上的一个资金池有可能受到影响,但没有可供恶意行为者执行的有利可图的漏洞,这意味着资金池不太可能受到攻击。CertiK也尚未检测到任何其他利用Vyper漏洞的攻击。

以下是以JPEG’d为目标的交易示例:

攻击者: 0x6ec21d1868743a44318c3c259a6d4953f9978538

攻击合约: 0x466b85b49ec0c5c1eb402d5ea3c4b88864ea0f04#code

1.    攻击者首先从 Balancer:Vault中借入80,000 WETH (约合149,371,300美元)

2.    然后,攻击者将WETH 换成 ETH,调用 pETH-ETH-f.add_liquidity(),将 40,000 ETH(约合74,685,650美元)添加到 pETH-ETH-f 池中。作为回报,攻击者收到了32,431枚pETH(pETH-ETH-f)。

3.    攻击者调用 remove_liquidity() 删除了在步骤2中添加的流动性。3,740 pETH 和 34,316 ETH 被转入攻击合约,攻击合约的 fallbak() 函数被触发了,将控制权交给了攻击者。在 fallback() 函数中,攻击者又向 pETH-ETH-f 池中添加了40,000 ETH的流动性,并收到了 82,182 pETH。

4.    攻击者再次调用remove_liquidity(),取出10,272pETH,收到47,506 ETH和1,184pETH。然后,攻击者在pETH-ETH-f 池中用4,924枚 pETH交换了4,285枚ETH。

总的来说,攻击者从第3步获得了34,316枚ETH,从第4步获得了47,506和 4,285枚ETH,共计 86,107枚ETH。在偿还了 80,000 ETH闪电贷后,攻击者还剩下6,107 ETH(约11,395,506美元)。 

该漏洞允许攻击者在移除流动性过程中调用添加流动性函数。虽然这些函数本应受到 @nonreentrant('lock')的保护,但对 add_liquidty() 和 remove_liquidity() 函数的测试证明,它并不能防止重入攻击。

 Vyper_contract for Curve.fi Factory Pool 数据源: Etherscan

继利用 JPEG'd、Metronome 和 Alchemix 漏洞之后,Vyper 的 v0.2.15、v0.2.16 和 v0.3.0 版本确实存在重入保护失败的漏洞。

使用易受攻击的Vyper版本的项目应联系 Vyper协助进行缓解。项目也应尽量升级到不含此漏洞的最新版Vyper。

Vyper被攻击事件是CertiK2023 年检测到的最大的重入漏洞。就资金损失而言,该攻击损失金额占据了此类事件的78.6%。

今年两起最大的重入漏洞,都是利用Vyper编写的合约,尽管漏洞并不相同。

目前,2023 年所有链中因重入攻击造成的损失已超过 6,600 万美元。这比 2020年全年多出约400万美元,仅比 2021年的损失额少100万美元。值得注意的是,2023年的总额也比 2022 年因重新定位攻击造成的损失增加了 259.45%。

CertiK中文社区

企业专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

标签:ANCCERGEMETHUranium Financeceres币能发财吗gemini情侣网名另一半togetherbnb手游下载

火必热门资讯
ETH:玩转 Base 指南: 除了模因币外 Base 链还有哪些值得参与的项目?_DSETH价格

由 Coinbase 基于 OP Stack 推出的 L2 网络 Base 最近引起了加密社区的热议,原因在于发行于 Base 之上的模因币 BALD 造就了“一日百倍神话”.

人工智能:AI监管新思路:给每个AI注入一个“灵魂”_CRV

人工智能领域的领军人物,包括像 ChatGPT 这样众所周知的“生成式人工智能”的系统架构师,现在都公开表示,担心自己创造的东西可能会带来可怕的后果.

NAN:速览 20 个有机会在下轮牛市冲击一线的潜力项目_FIN

近日,随着美国联邦法官裁定 XRP 在散户销售中不属于证券,Ripple 迎来了与美 SEC 三年斗争的短暂胜利,受此消息影响,加密市场中的诸多币种价格出现了大幅上涨.

ANC:一文速览社交龙头Lens V2 五大新功能_LAYERX币

在以太坊EthCC的主会场,Stani公布了Lens Protocol V2版本的上线,介绍了详细内容.

NTR:Starknet改进语法全解读_STA

Cairo 编译器的第 2 版对 Starknet 语法进行了更改,使代码更加明确和安全。智能合约公共接口是使用特征定义的,并且对存储的访问是通过 ContractState 特征完成的。私有方法必须使用与公共接口不同的实现来定义。事件现在定义为枚举,其中每个变体都是同名的结构。

比特币:详解ZeroSync:Starkware为比特币开发的零知识证明系统_STARK币

作者:Chainchen@Web3CN.Pro零知识证明(ZKP)为区块链的可扩展性和隐私性上带来一种快速转变。到目前为止,以太坊社区正在广泛应用这项技术并且已经取得了飞速进展.