比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > MATIC > Info

Vyper 被黑的時間線和反思_ETH

Author:

Time:1900/1/1 0:00:00

"Trust but verify"(信任,但要核查),不要做“事后諸葛亮”。最厲害的 bug 都是燈下黑。

由于合約的不可變性, 項目會隱性依賴多年前編寫的代碼, 我們在修復 bug 時,就更需要注意它的潛在影響。

這次的事情是這樣發生的。

在本文中,我會用“我們”來指代所有為這次事件努力的人。我覺得,雖然我最初對發現漏洞作出了一些貢獻,但在整個過程中,有無數人提供了更多的幫助。

13:10 UTC pETH/ETH  1100 萬美元 流失。

13:19 UTC Michal 在 ETHSecurity 上發布有關 pETH 價格突然暴跌的消息。

Igor 首先注意到不對勁。多虧了他,我們開始深入調查。

Vyper編譯器發布漏洞事件分析報告,漏洞已于v0.3.1修復并測試:8月6日消息,以太坊編程語言Vyper發布有關上周漏洞事件的事后分析報告:7月30日由于Vyper編譯器中的潛在漏洞,多個Curve流動性池被利用,該漏洞本身是一個未正確實施的重入防護,受影響的Vype版本為v0.2.15、v0.2.16、v0.3.0。

Vyper稱該漏洞已于v0.3.1修復并測試,v0.3.1及更高版本是安全的。然而,當時并沒有意識到對實時合約的影響,也沒有通知下游協議。未來將加強使用Vyper協議更嚴格的雙向反饋并推出相關錯誤賞金計劃和競賽。[2023/8/6 21:28:18]

但是機器人是如何在remove_liquidity()調用中重入add_liquidity()的呢?

14:01 UTC 就這個問題組建了一個應急小組。

14:07 UTC 我們用我們最喜歡的反編譯器反編譯了 JPEGd 合約,并注意到重入保護存儲槽有點不同。

Lido:stETH流動性池未受Vyper漏洞影響,所有LP均安全:金色財經報道,流動性質押協議Lido Finance在官推確認其stETH流動性池沒有受到Vyper漏洞影響,所有流動性提供者(LP)均安全。目前流動性池狀態對Lido Finance協議也不存在問題,任何用戶都可以使用協議內的Lido提款機制隨時提款。此外,Lido還宣布Lido DAO注冊功能已經上線,被邀請的用戶可以進行注冊并參與投票,以解鎖鏈上獎勵。[2023/8/1 16:12:16]

// Dispatch table entry for add_liquidity(uint256,uint256)label_0057:    if (storage[0x00]) { revert(memory[0x00:0x00]); }    storage[0x00] = 0x01;// Dispatch table entry for remove_liquidity(uint256,uint256)label_1AF3:    if (storage[0x02]) { revert(memory[0x00:0x00]); }    storage[0x02] = 0x01;14:27 UTC 我們通過一個簡單的本地測試合約確認了這個問題。

Curve Finance:最好遷移到Vyper 0.3.7+最新版本合約:金色財經報道,Curve Finance在社交媒體提醒稱,Vyper 0.3.7+已進行了較好的重構和審核,雖然不涉及任何保證(也沒有任何保證),但最好遷移到最新版本合約。此前,截至目前,Curve Finance官方已確認四個流動性池受到Vyper編譯器0.2.15-0.30版本影響,分別是:crv/eth、aleth/eth、mseth/eth、peth/eth,另外Arbitrum上tricrypto的一個流動性池“可能”受到影響,審計員和Vyper開發人員仍無法找到漏洞,因此需要投資者盡快退出。[2023/8/1 16:10:57]

@external@nonreentrant("lock")def test(addr: address) -> bool:    return True@external@nonreentrant("lock")def test2(addr: address) -> bool:    return False這不僅僅是另一個重入 bug。

以太坊編程語言Vyper 0.2.15、0.2.16和0.3.0版本發生重入鎖故障:7月31日消息,以太坊編程語言Vyper發推稱,Vyper 0.2.15、0.2.16 和 0.3.0 版本受到重入鎖故障的影響,調查仍在進行中。[2023/7/31 16:08:10]

此時,我們意識到這將產生多大的影響。封鎖消息,我們刪除了有關該漏洞的公開消息。

14:37 UTC Wavey 幫助確認了存在漏洞的提交和受影響的版本。我和 Charles 通過手動檢查 Vyper 編譯器輸出也證實了這一點。

這是一場與黑客的競賽。

值得慶幸的是,人們還將其與只讀重入混淆。摘自 “Web3 安全警報” 頻道-Alchemix 和 Metronome DAO 也因只讀重入 bug 遭到黑客攻擊

動態 | 新以太坊語言Vyper發布 可與Solidity合用以增強安全性:據newsbtc消息,新的以太坊語言Vyper已經發布,并在社交媒體上引起熱議。該語言是由廢棄語言Serpent?升級而來,為開發者們提供了可以替代Solidity語言的另外一種選擇,早期使用者甚至認為這是一種改進,更勝Solidity。像Solidity一樣,Vyper編譯為以太坊虛擬機(EVM)的字節代碼,而Vyper的設計目的是簡化這個過程,旨在創建更易理解的智能合約,減少攻擊點,增加透明度,目前Vyper Beta已經準備好測試工作。Vyper的創建不是為了取代Solidity,而是為了與其一起使用,因為它們共享相同的字節代碼以增強安全性,據此看來,Vyper未來將大有可為。[2018/7/8]

Michael 發現運行 0.2.15 版本的 alETH 和 msETH 池也存在潛在漏洞。

14:50 UTC msETH/ETH 被耗盡。

15:34 UTC alETH/ETH 被耗盡。

15:43 UTC 我們發現用 Vyper 版本 0.3.0 編譯的CRV/ETH 存在漏洞。我們必須盡可能長時間保密受影響的合約,這一點至關重要。

16:11 UTC 我們開始研究白帽漏洞。

不幸的是,太多的組織在同時進行獨立研究,謠言四起。16:44 UTC,我們決定針對受影響的版本發布公開聲明。

到 18:32 UTC,我們有了一個可用于潛在白帽拯救的概念證明漏洞。Chainlight 的 bpak 也同時在研究一個漏洞,并于 19:06 UTC 分享。

五分鐘后,19:11 UTC,有人盜走了資金。

攻擊結構與我們的概念證明有很大不同,不太可能是我們團隊泄密。無論如何,這非常令人沮喪。

盡管如此,還有很多事情要做。

21:26 UTC Addison 提出了一個雄心勃勃的計劃,拯救 CRVETH 池中的剩余資產。

21:52 UTC bpak 做了一個可行的概念證明,可以拯救 3100 ETH。

十分鐘后,22:02 UTC,我們再次被擊敗。出乎意料的是,CRV 管理費用機器人已被取走資金,并且池子已耗盡。

責備(Balme) 是一個很強烈的詞。指責是沒有用的。我認為思考一下哪些方面可以做得更好才是有用的。

白帽的努力都在不到半小時的時間內被擊敗。有時候,每一秒都非常重要。

也許可以有更好的準備和資源來執行這些攻擊。同時,這似乎是一把雙刃劍。把如何執行黑客攻擊的信息匯總起來真的是個好主意嗎?我們應該信任誰?

另一方面,我認為整個過程非常有效。我們在 2 小時 4 分鐘內從最初的懷疑到確認出誰易受攻擊。

我既是審計員又是白帽黑客。

審計行業有著特有的發布文化。我們因技術思想領先和對漏洞的深刻理解而獲得報酬。證明他們的領先與深刻的一種方法是發布有關黑客行為的“獨家新聞”。研究人員花費巨大,而投資的回報就是宣傳。

另一方面,有一個令人信服的論點認為:受影響版本的早期披露會對白帽拯救產生重大影響。

如果再多半小時,就可以拯救 1800 萬美元。

審計師不會為他們的報告所造成的影響付出代價。相反,他們會得到點贊、轉發和報道。這似乎是一個問題。

我不同意“我們需要形式化驗證來解決這個問題”之類的觀點。這個錯誤可以通過單元測試來捕獲。形式化驗證對于許多錯誤類型都非常有用,但我不相信它對于相對簡單的、未優化編譯器也同樣有用。

需要注意的是,這個錯誤在 2021 年 11 月已修復。

我認為這個 Vyper 漏洞不是 Vyper 團隊的技術或語言本身的問題,更多是流程問題。這個錯誤在很久以前的版本已被修復,但在修復的時候并沒有意識到它的潛在影響。

不幸的是,公共物品很容易被忽略。由于合約不可變性,項目會隱性依賴多年前編寫的代碼。協議開發人員和安全專家應該了解整個執行堆棧的最新安全開發情況。

登鏈社區

個人專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags:BSPNBSETHUTCBSP幣NBS價格ETHBACK幣utc幣跑路了嗎

MATIC
Twitter Space 回顧:Curve 的至暗時刻?_CRV

作者:DODO Research8 月 1 日的 Twitter Space 上 DODO research 邀請到了 DeFi Cheetah,陳默.

1900/1/1 0:00:00
告別蕭條 速覽 Cosmos 生態近期值得關注的 10 個理由_OSM

作者:Curious J, 加密 KOL 編譯:Felix, PANews永續合約崛起、新鏈上線、代幣經濟學升級,不溫不火的 Cosmos 在熊市不斷深耕下.

1900/1/1 0:00:00
知微見著:速覽1inch二季度生態進展報告關鍵點_BSP

原文作者:Ryan Celaj 原文來源:Messari 翻譯:星球日報1inch DAO 投票決定停止收集 Swap 盈余(Swap Surplus).

1900/1/1 0:00:00
Polygon 副總裁 :參加 EthCC 后的 8 點感想_POL

作者:@davidesilverman;翻譯:火火/白話區塊鏈7月20日-7月22日,第四屆以太坊社區大會(EthCC)在法國巴黎順利舉行.

1900/1/1 0:00:00
美SEC主席:當前的監管制度不具備應對AI危險的能力_SEC

作者:Jacob Oliver,CryptoSlate;編譯:松雪,金色財經據彭博社報道,美國證券交易委員會 (SEC) 主席加里·詹斯勒 (Gary Gensler) 淡化了對加密貨幣的關注.

1900/1/1 0:00:00
多輪災難與洗禮之后 去中心化穩定幣迎來黃金時代?_USD

撰文:Ignas  編譯:Luffy,Foresight News你持有穩定幣嗎?如果是的話,你持有哪些?你用它們做什么?你將它們投入到 DeFi 收益活動.

1900/1/1 0:00:00
ads