Cointime

扫码下载App
iOS & Android

黑洞吞噬:Vyper漏洞让Curve结结实实翻了一车

项目方

近日,超级稳定币协议Curve受到重入攻击,造成严重损失。以下是MetaTrust Labs对本次攻击事件的安全分析及安全建议。

事件回顾

根据 Curve Finance 的官方推特,在 2023 年 7 月 31 日,一些使用 Vyper 0.2.15 版本编写的稳定池(alETH/msETH/pETH)受到了重入攻击。Curve Finance 表示,该攻击是由于 Vyper 0.2.15 版本存在重入锁故障(malfunctioning reentrancy locks)导致的,而且只影响了使用纯 ETH 的池子。目前,Curve 正在评估损失情况,其他池子是安全的。

据 MetaTrust Labs 的分析,该漏洞是在 2021 年 8 月至 10 月期间引入的,主要由于 Vyper 的 0.2.15/0.2.16/0.3.0 版本编译器引起的。漏洞原因是由于编译器 bug 导致生成的字节码中本该重入保护的方法,重入逻辑不生效导致。

根据链上数据统计,Curve Finance 稳定币池黑客攻击事件已造成 Alchemix、JPEG’d、CRV/ETH 池等累计损失 5200 万美元。Curve Finance 的代币 CRV 也遭受重创,日内下跌超过 15%。

原因分析

Curve Finance 这次被攻击的原因是,Curve 在使用了 Vyper 这个语言写智能合约时,使用了 Vyper 0.2.15 版本,该版本上有一个漏洞是 malfunctioning reentrancy locks(重入锁故障),被攻击者利用发起了重入攻击造成损失。Curve Finance 这次的漏洞是一个 Language Specific 的漏洞。

Language Specific 的漏洞指的是由于某种编程语言或者编译器本身存在缺陷或者不兼容性导致的漏洞。这类漏洞往往难以发现和预防,因为它们不是由于开发者的疏忽或者逻辑错误造成的,而是由于底层技术平台的问题造成的。这类漏洞也往往会影响到多个项目或者合约,因为它们都使用了同样的语言或者编译器。

Vyper 是一种基于 Python 的智能合约编程语言,旨在提供更高的安全性和可读性。Vyper 声称自己是一种「安全优先」的语言,不支持一些可能导致安全隐患的特性,如类、继承、修改器、内联汇编等。然而,Vyper 也并非完美,它仍然存在一些 bug 或者漏洞,可能会影响到合约的安全性。例如,除了本次 Curve Finance 遭遇的重入锁故障之外,Vyper 还曾经出现过数组越界、整数溢出、存储访问错误等问题。

安全措施

对于 Curve Finance 这次的重入攻击事件,目前已经有一些应对措施被采取或者提出。以下是一些可采取的安全应对措施:

  • 移出流动性:对于受影响的池子,用户可以选择移出流动性,以避免进一步的损失。Curve Finance 已经在其官网上提供了一个移出流动性的按钮,方便用户操作。
  • 升级编译器:对于使用了 Vyper 0.2.15/0.2.16/0.3.0 版本编译器的合约,建议升级到最新的 Vyper 0.3.1 版本,该版本已经修复了重入锁故障的问题。同时,也建议使用其他工具或者方法来验证合约的安全性,如形式化验证、代码审计等。
  • 提高警惕:对于使用了 Vyper 或者其他语言编写的合约,建议提高警惕,关注语言或者编译器的更新和漏洞修复情况,及时采取必要的措施来保护自己的资产。同时,也建议在使用新语言或者新技术时,谨慎评估其成熟度和稳定性,避免盲目追求新鲜或者高效。

总结

Curve Finance 的重入攻击事件是一个令人遗憾的安全事故,也是一个引人深思的教训。在去中心化金融(DeFi)领域,安全永远是第一要务,项目方应该不断地提高自己的安全意识和能力,任何一个细节都可能成为攻击者利用的突破口。

Follow Us

Twitter: @MetaTrustLabs

Website: metatrust.io

评论

所有评论

推荐阅读

  • 6月9日晚间重要动态一览

    12:00-21:00关键词:Turnkey、美国加州、Strategy、Tether 1.Tether在Tron网络铸造10亿枚USDT 2.加密钱包Turnkey完成3000万美元B轮融资 3.美国加州州长纽森:将对特朗普政府提起诉讼 4.Strategy上周耗资1.1亿美元购入1045枚比特币 5.中美经贸磋商机制首次会议在英国伦敦开始举行 6.Tether计划第四季度开源比特币矿机操作系统MOS 7.CoinShares:上周数字资产投资产品净流入2.86亿美元 8.The Blockchain Group联合TOBAM启动3亿欧元比特币增资计划

  • 中美经贸磋商机制首次会议在英国伦敦开始举行

    当地时间6月9日,中共中央政治局委员、国务院副总理何立峰与美方在英国伦敦开始举行中美经贸磋商机制首次会议。

  • 特朗普:密切关注洛杉矶,将向任何地方派军

    美国总统特朗普8日就加利福尼亚州洛杉矶骚乱表示,联邦政府“将向任何地方派遣军队”。美国军方同一天说,大约500名海军陆战队人员正在待命。特朗普告诉媒体记者,洛杉矶的抗议活动是“暴乱”,“我们将向任何地方派遣军队”,“不会让施暴者逍遥法外”。

  • 花旗:预计美联储将在2026年1月和3月(累计)降息50个基点

    花旗:预计美联储将在2026年1月和3月(累计)降息50个基点。

  • 特朗普称决不允许国家撕裂

    美国总统特朗普当地时间6月8日下午在新泽西州换乘“空军一号”登机前对媒体表示,洛杉矶存在“暴力分子”,“还冲执法人员吐口水、投掷东西”,但他们“吐口水就得挨揍”,“他们休想逍遥法外”。当被问及是否计划向洛杉矶派遣军队时,特朗普回应称,“我们将在各地部署军队,绝不允许国家被撕裂,不会重蹈拜登任内的覆辙。”特朗普同时警告称,阻挠非法移民驱逐行动的加州官员将面临指控。

  • 美联储任命 Michael Horowitz 担任新一任监察长,负责内部监督

    美联储近日宣布,迈克尔·霍洛维茨(Michael Horowitz)将出任美联储新任监察长。霍洛维茨接替自 2011 年起担任该职并于今年4月退休的Mark Bialek。作为美联储监察长,他还负责对消费者金融保护局(CFPB)进行独立监督。他此前的职务是司法部监察长(IG)。美联储的监察长是由主席挑选的,这在政府监管机构中不同寻常。一些参议员认为,这种安排使监察长无法对美联储进行真正的监督,他们已提出立法,要求由总统来挑选监察长,然后经参议院确认。在美联储内幕交易风波后,美联储监察长成为公众关注的焦点,该机构负责评判一些联储官员的交易行为是否符合道德要求。

  • 去中心化人工智能公司RabitiAI完成500万美元融资

    去中心化人工智能公司RabitiAI宣布完成500万美元融资,Nortiyus领投,新资金拟用于支持其构建工具和基础设施,使用户能够在基于跨区块链的架构上部署和管理人工智能模型,目前其解决方案主要应用于医疗、金融和物流等领域,预计将于今年Q3发布企业级商业版本去中心化AI工具。

  • 日本参议院通过《资金结算法》修正案,确立加密资产中介业新制度

    日本参议院于 6 月 6 日通过《资金结算法》修正案,确立 “加密资产中介业” 新制度,允许企业在无需注册为加密资产交换业者的前提下,从事撮合服务,旨在降低市场准入门槛、推动加密金融创新。 修正案还新增 “国内保有命令”条款,赋予政府在必要时命令平台将部分用户资产留存在日本境内的权力,以防止类似 FTX 破产事件造成的资产外流风险。新法预计将在公布日起一年内正式施行。

  • 何立峰将访问英国并举行中美经贸磋商机制首次会议

    外交部发言人宣布:应英国政府邀请,中共中央政治局委员、国务院副总理何立峰将于 6 月 8 日至 13 日访问英国。其间,将与美方举行中美经贸磋商机制首次会议。

  • 特朗普的加密晚宴引发道德争议

    出席晚宴的人,如加密交易员 Nicholas Pinto,对活动糟糕的食物和不足的安保表示不满。