比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 火必 > Info

ETH:CertiK:Vyper 5200萬美元損失 事件詳解_CER

Author:

Time:1900/1/1 0:00:00

有報告稱 Vyper 0.2.15、0.2.16 和 0.3.0 版本存在漏洞,導致 Curve 上的許多池有遭受重入攻擊的風險。該漏洞允許攻擊者在移除流動性過程中調用添加流動性函數。

目前,總共有6,930萬美元受到影響,其中1,670萬美元已被白帽黑客追回。這也意味著此次事件造成了5,200萬美元被盜,成為了2023年迄今為止金額最高的重入攻擊。

2023年7月30日,專為以太坊虛擬機(EVM)設計的面向合約的編程語言 Vyper 編譯器0.2.15、0.2.16 和 0.3.0 版本被宣布存在重入鎖失效漏洞。多個 DeFi 項目受到該漏洞的影響,損失總額達 5,200 萬美元。

CertiK 已確定有六個地址涉及此次事件。第一個(0x172)未能利用區塊 17806056 中的漏洞。最初的漏洞利用者從 Tornado Cash 提取了 0.1 ETH,并繼續創建攻擊合約。然而,一個跑在前面的錢包(0x6Ec21)支付了更多的gas費用,并率先執行了交易,獲得了大約 6,100枚WETH(1,140 萬美元)。

CER報告:45個加密錢包品牌中只有6個經過了滲透測試:金色財經報道,網絡安全認證平臺 CER一份報告發現,45 個加密貨幣錢包品牌中,只有 6 個(即 13.3%)經過了滲透測試以發現安全漏洞。其中,只有一半對其產品的最新版本進行了測試。報告稱,完成最新滲透測試的三個品牌是 MetaMask、ZenGo 和 Trust Wallet。Rabby 和 Bifrost 對舊版本的軟件進行了滲透測試,Ledger Live 對未知版本(在報告中列為“N/A”)進行了滲透測試,列出的所有其他品牌均未提供任何做過這些測試的證據。

該報告還對每個錢包的安全性進行了總體排名,將 MetaMask、ZenGo、Rabby、Trust Wallet 和 Coinbase Wallet 列為總體最安全的錢包。[2023/8/10 16:16:45]

由MEV機器人在前置交易失敗的漏洞 來源:Etherscan Etherscan 

該漏洞導致了進一步的損失:EOA 0xDCe5d 獲得了價值約 2,100 萬美元的資產。涉案錢包明細如下圖:

共有6個項目受到影響,約有6,930萬美元被盜走,其中1,670萬美元已被歸還,總計損失約為5,200萬美元。

CertiK:警惕推特上假冒AVAX空投的虛假宣傳:金色財經報道,據CertiK官方推特發布消息稱,警惕推特上假冒AVAX空投的虛假宣傳,請用戶切勿與相關鏈接互動,該網站會連接到一個已知的自動盜幣地址。[2023/7/12 10:50:48]

Vyper 是以太坊虛擬機(EVM)的一種面向合約的 pythonic 編程語言。Vyper 的測試版從 2017 年就開始有了,但其首個非測試版本是于2020年7月發布的 0.2.1 版。

Solidity是以太坊生態系統中的主流語言,它比Vyper存在的時間要長得多,因此許多社區成員創建了專門使用 Solidity 運行的工具。根據 DeFiLlama 的數據顯示,在DeFi協議中價值約700 億美元的總鎖倉價值(TVL)中,Vyper 智能合約占 21.7 億美元,而 Solidity 則占絕大多數,高達 674.9 億美元。

 根據語言劃分的總鎖倉價值 來源:DeFiLlama

截至2023年5月10日,Vyper的主導地位從 2020 年8月的30%高點降至 6.27%。盡管 Vyper的TVL 主導地位明顯低于Solidity,但這一事件仍導致6,200萬美元受到影響。

SGS將在28個機場實施DocCerts區塊鏈管理解決方案:金色財經報道,沙特機場地勤服務提供商SGS將與區塊鏈公司IR4LAB合作,在沙特的28個機場實施DocCerts區塊鏈管理解決方案,適用于SGS提供地面服務的所有培訓相關數字文件和地面服務設備許可證。(Zawya)[2023/2/9 11:56:42]

 不同編程語言在 TVL 中的主導地位 來源:DeFiLlama

編譯器版本

編譯器版本是指編程語言編譯器的特定版本,編譯器將人類可讀的源代碼轉換為機器可讀的代碼。

編譯器版本會定期更新,以引入功能、修復漏洞并增強安全性。Vyper 語言目前不提供白客漏洞懸賞計劃。

版本 0.2.15 - 0.3.0

上文提到的就是Vyper 的0.2.15、0.2.16 和 0.3.0版本中發現了漏洞,導致了多個DeFi項目遭到重入攻擊。

而最早的Vyper 漏洞版本 0.2.15 發布于2021年7 月23日。到同年12月發布 0.3.1 版時,之前的漏洞已不復存在。

時間線

Fswap遭受黑客攻擊,目前正配合Certik處理黑客問題:據官方消息,Fswap于6月13日22:08分遭受黑客攻擊,目前Fswap正在和Certik積極配合處理黑客問題,目前與黑客方嘗試通過區塊鏈進行加密溝通,但黑客方加密信息出現錯誤,正在嘗試繼續溝通。這次為非被攻擊項目漏洞事件,是惡意借貸攻擊事件,黑客從BISWAP借貸至FSWAP進行交易攻擊,FSWAP通過certik全合約審計,我們正在與certik溝通配合進行處理,更多消息請持續關注Fswap官方推特。[2022/6/14 4:23:58]

事件最初開始于北京時間7月30日晚9點10分,攻擊者針對Curve 上 JPEG’d池的交易由于前置運行交易而失敗。

北京時間7月30日晚10點,JPEG‘d 確認 pETH-ETH Curve池已被惡意利用。

Vyper 隨后宣布,0.2.15、0.2.16 和 0.3.0 版本包括了一個失效的重入鎖。Vyper 發布推文后,Metronome 和 Alchemix 也受到了影響。

前Web3基金會波卡增長負責人Dan Reecer擔任Acala增長副總裁:前Web3基金會波卡增長負責人Dan Reecer發推宣布:今天是自己全職擔任Acala增長副總裁的第一天。過去兩年,他參與了波卡、Kusama的啟動,在推文中感謝Web3基金會團隊,他表示將以與Acala的同事一道幫助構建Acala和Kusama上領先的DeFi平臺。[2021/2/2 18:42:21]

Metronome DAO 宣布消息:

北京時間第二天凌晨,Curve Finance在 Discord 上發布公告稱,剩余的資金池不受Vyper Bug的影響,是安全的。

Curve Finance 在 Twitter 上宣布,Arbitrum上的一個資金池有可能受到影響,但沒有可供惡意行為者執行的有利可圖的漏洞,這意味著資金池不太可能受到攻擊。CertiK也尚未檢測到任何其他利用Vyper漏洞的攻擊。

以下是以JPEG’d為目標的交易示例:

攻擊者: 0x6ec21d1868743a44318c3c259a6d4953f9978538

攻擊合約: 0x466b85b49ec0c5c1eb402d5ea3c4b88864ea0f04#code

1.    攻擊者首先從 Balancer:Vault中借入80,000 WETH (約合149,371,300美元)

2.    然后,攻擊者將WETH 換成 ETH,調用 pETH-ETH-f.add_liquidity(),將 40,000 ETH(約合74,685,650美元)添加到 pETH-ETH-f 池中。作為回報,攻擊者收到了32,431枚pETH(pETH-ETH-f)。

3.    攻擊者調用 remove_liquidity() 刪除了在步驟2中添加的流動性。3,740 pETH 和 34,316 ETH 被轉入攻擊合約,攻擊合約的 fallbak() 函數被觸發了,將控制權交給了攻擊者。在 fallback() 函數中,攻擊者又向 pETH-ETH-f 池中添加了40,000 ETH的流動性,并收到了 82,182 pETH。

4.    攻擊者再次調用remove_liquidity(),取出10,272pETH,收到47,506 ETH和1,184pETH。然后,攻擊者在pETH-ETH-f 池中用4,924枚 pETH交換了4,285枚ETH。

總的來說,攻擊者從第3步獲得了34,316枚ETH,從第4步獲得了47,506和 4,285枚ETH,共計 86,107枚ETH。在償還了 80,000 ETH閃電貸后,攻擊者還剩下6,107 ETH(約11,395,506美元)。 

該漏洞允許攻擊者在移除流動性過程中調用添加流動性函數。雖然這些函數本應受到 @nonreentrant('lock')的保護,但對 add_liquidty() 和 remove_liquidity() 函數的測試證明,它并不能防止重入攻擊。

 Vyper_contract for Curve.fi Factory Pool 數據源: Etherscan

繼利用 JPEG'd、Metronome 和 Alchemix 漏洞之后,Vyper 的 v0.2.15、v0.2.16 和 v0.3.0 版本確實存在重入保護失敗的漏洞。

使用易受攻擊的Vyper版本的項目應聯系 Vyper協助進行緩解。項目也應盡量升級到不含此漏洞的最新版Vyper。

Vyper被攻擊事件是CertiK2023 年檢測到的最大的重入漏洞。就資金損失而言,該攻擊損失金額占據了此類事件的78.6%。

今年兩起最大的重入漏洞,都是利用Vyper編寫的合約,盡管漏洞并不相同。

目前,2023 年所有鏈中因重入攻擊造成的損失已超過 6,600 萬美元。這比 2020年全年多出約400萬美元,僅比 2021年的損失額少100萬美元。值得注意的是,2023年的總額也比 2022 年因重新定位攻擊造成的損失增加了 259.45%。

CertiK中文社區

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags:ETHBSPCERNBSEthereum ApexBSPAY幣cer幣是不是跑路了nbs幣發行量

火必
NFT:解析NFT市場發生大潰敗的三個根本原因_BLUR

在這篇文章中,我們首先會以數據呈現NFT市場近期熊市狀態的具體表現,進而分析阻礙NFT市場增長的主要原因.

1900/1/1 0:00:00
BLO:如何使用 ZK 和 VDF 實現「隱私 mempool」構想?_Blockchain Cuties Universe

現在大部分的 L2 Sequencer 基本上都采取 「先到先出」 (FIFS)  的交易排序方式來保護用戶不被 MEV,但是這樣也弱化了區塊的價值.

1900/1/1 0:00:00
比特幣:貝萊德聯手印度金融服務公司成立合資企業 積極進軍亞洲市場_什么是比特幣ETF

編譯:區塊鏈騎士 貝萊德(BlackRock)繼續其在全球范圍內的積極擴張,與印度的Jio金融服務公司成立了一家合資企業。雙方最初將為其新平臺各投入1.5億美元,該平臺將提供投資服務.

1900/1/1 0:00:00
AUN:加密女王 Katie Haun 如何度過加密貨幣的至暗時刻?_Integral Resistance

編譯:0x26,BlockBeats四月一個陽光明媚的早晨,Katie Haun 沿著 Palo Alto 山上 Stanford Dish(斯坦福大學附近的一個大型射電望遠鏡)周圍的一條蜿蜒小.

1900/1/1 0:00:00
WOR:Worldcoin已暫停肯尼亞服務 計劃與監管機構合作_ORL

作者:Ryan Weeks,THE BLOCK;編譯:松雪,金色財經Worldcoin基金會在一份聲明中表示,服務已暫停,“出于謹慎考慮,并努力減少人群數量.

1900/1/1 0:00:00
CGA:涉案流水4000億 執法機關如何處置沒收的加密貨幣?_imtoken提現人民幣步驟

“沒收虛擬貨幣”,究竟是怎么執行的?執行機關是怎么把這些虛擬貨幣變現的?這些變現方式是否會違反法律規定?本文將為大家講解加密貨幣的司法執行.

1900/1/1 0:00:00
ads