Cointime

扫码下载App
iOS & Android

黑洞吞噬:Vyper漏洞让Curve结结实实翻了一车

项目方

近日,超级稳定币协议Curve受到重入攻击,造成严重损失。以下是MetaTrust Labs对本次攻击事件的安全分析及安全建议。

事件回顾

根据 Curve Finance 的官方推特,在 2023 年 7 月 31 日,一些使用 Vyper 0.2.15 版本编写的稳定池(alETH/msETH/pETH)受到了重入攻击。Curve Finance 表示,该攻击是由于 Vyper 0.2.15 版本存在重入锁故障(malfunctioning reentrancy locks)导致的,而且只影响了使用纯 ETH 的池子。目前,Curve 正在评估损失情况,其他池子是安全的。

据 MetaTrust Labs 的分析,该漏洞是在 2021 年 8 月至 10 月期间引入的,主要由于 Vyper 的 0.2.15/0.2.16/0.3.0 版本编译器引起的。漏洞原因是由于编译器 bug 导致生成的字节码中本该重入保护的方法,重入逻辑不生效导致。

根据链上数据统计,Curve Finance 稳定币池黑客攻击事件已造成 Alchemix、JPEG’d、CRV/ETH 池等累计损失 5200 万美元。Curve Finance 的代币 CRV 也遭受重创,日内下跌超过 15%。

原因分析

Curve Finance 这次被攻击的原因是,Curve 在使用了 Vyper 这个语言写智能合约时,使用了 Vyper 0.2.15 版本,该版本上有一个漏洞是 malfunctioning reentrancy locks(重入锁故障),被攻击者利用发起了重入攻击造成损失。Curve Finance 这次的漏洞是一个 Language Specific 的漏洞。

Language Specific 的漏洞指的是由于某种编程语言或者编译器本身存在缺陷或者不兼容性导致的漏洞。这类漏洞往往难以发现和预防,因为它们不是由于开发者的疏忽或者逻辑错误造成的,而是由于底层技术平台的问题造成的。这类漏洞也往往会影响到多个项目或者合约,因为它们都使用了同样的语言或者编译器。

Vyper 是一种基于 Python 的智能合约编程语言,旨在提供更高的安全性和可读性。Vyper 声称自己是一种「安全优先」的语言,不支持一些可能导致安全隐患的特性,如类、继承、修改器、内联汇编等。然而,Vyper 也并非完美,它仍然存在一些 bug 或者漏洞,可能会影响到合约的安全性。例如,除了本次 Curve Finance 遭遇的重入锁故障之外,Vyper 还曾经出现过数组越界、整数溢出、存储访问错误等问题。

安全措施

对于 Curve Finance 这次的重入攻击事件,目前已经有一些应对措施被采取或者提出。以下是一些可采取的安全应对措施:

  • 移出流动性:对于受影响的池子,用户可以选择移出流动性,以避免进一步的损失。Curve Finance 已经在其官网上提供了一个移出流动性的按钮,方便用户操作。
  • 升级编译器:对于使用了 Vyper 0.2.15/0.2.16/0.3.0 版本编译器的合约,建议升级到最新的 Vyper 0.3.1 版本,该版本已经修复了重入锁故障的问题。同时,也建议使用其他工具或者方法来验证合约的安全性,如形式化验证、代码审计等。
  • 提高警惕:对于使用了 Vyper 或者其他语言编写的合约,建议提高警惕,关注语言或者编译器的更新和漏洞修复情况,及时采取必要的措施来保护自己的资产。同时,也建议在使用新语言或者新技术时,谨慎评估其成熟度和稳定性,避免盲目追求新鲜或者高效。

总结

Curve Finance 的重入攻击事件是一个令人遗憾的安全事故,也是一个引人深思的教训。在去中心化金融(DeFi)领域,安全永远是第一要务,项目方应该不断地提高自己的安全意识和能力,任何一个细节都可能成为攻击者利用的突破口。

Follow Us

Twitter: @MetaTrustLabs

Website: metatrust.io

评论

所有评论

推荐阅读

  • 德商银行:美国 CPI 数据将确认美联储的观望立场

    德商银行研究员 Rainer Guntermann 在一份报告中表示,周三公布的美国通胀数据应该会证实美联储的观望态度。Guntermann 表示:“这些数据将强化美联储在下周政策决定之前的观望立场,因为目前关税升高的影响仍然有限。”根据 LSEG 的数据,货币市场完全定价了美联储 6 月 18 日维持利率不变。他们还预计,9 月份降息的可能性超过 50%。

  • 日本央行呼吁加大力度推动数字货币发展,以进入无现金社会

    日本央行官员正在加大呼吁力度,推动日本跟上数字货币的快速发展,这可能会加速“现金为王”的日本向无现金支付的转变。 日本政府数据显示,该国2024年无现金支付的比例从2010年的13.2%上升至42.8%,提前一年超过政府设定的40%的目标。尽管日本在支付技术方面全球落后,但无现金交易的增加正迫使政策制定者确保他们准备好适应公众对支付和结算方式的偏好变化。这包括发行央行数字货币(CBDC)。

  • 商务部国际贸易谈判代表:中美原则上达成协议框架

    当地时间6月10日,商务部国际贸易谈判代表兼副部长李成钢在伦敦谈到中美经贸磋商机制首次会议时表示,中美双方进行了专业、理性、深入、坦诚的沟通。双方原则上就落实两国元首6月5日通话共识以及日内瓦会谈共识达成了框架。

  • 路透调查:78%的经济学家预计日本央行到2026年第一季末将至少加息至0.75%

    路透调查:78%的经济学家预计日本央行到2026年第一季末将至少加息至0.75%。

  • 加州州长:特朗普政府正在推动大规模驱逐

    加州州长加文·纽森表示,特朗普政府的重点不是针对无证移民和罪犯,而是大规模驱逐。纽森周二表示,特朗普政府“不分青红皂白地针对辛勤工作的移民家庭,不管他们的出身或风险。”

  • 链上项目anome被曝出现安全事件

    6 月 10 日,据知名审计机构Certik 披露,在日常链上预警信息筛查中发现,6月 10 日凌晨,知名卡牌类游戏 Anome 遭遇攻击据与官方沟通回应:作为累计交互达到 13 万地址,日交易超十万笔全链平台,几乎日常遭遇各种此类事件均未被攻破。本次攻击在官方合约新旧交替期间,且攻击者主要攻击的是 1.0 版本中合约尚未升级的部分。本次事件不造成任何用户资产损失,仅损失部分流动性。

  • 欧洲央行管委维勒鲁瓦:欧洲央行已成功地使政策正常化

    欧洲央行管委维勒鲁瓦:欧洲央行已成功地使政策正常化,政策和通胀目前处于有利区间,处于有利区间并不意味着欧洲央行将保持不变,我们将根据数据流继续务实地推进利率问题,并在必要时保持灵活。

  • 英国利率期货定价2025年剩余时间内英国央行将降息46个基点

    英国利率期货定价2025年剩余时间内英国央行将降息46个基点,而劳动力市场数据公布前的预期为39个基点。

  • 通信平台Towns Protocol完成330万美元额外融资,Coinbase Ventures和echo领投

    6 月 10 日消息,据官方消息,通信平台 Towns Protocol 完成 330 万美元额外融资,此轮融资由 Coinbase Ventures 和 echo 领投,融资已于今年 4 月完成。 今年 4 月,Towns Protocol 宣布完成 1000 万美元 B 轮融资,本轮融资由 a16z crypto 领投,Coinbase Ventures、Benchmark 等参投。 Towns Protocol 基于 Base 网络构建,旨在推动 Web3 社交与协作工具的发展。Towns 希望通过去中心化和 Web3 创建一个数字城镇广场,成员可以在其中定义边界、制定规则并建立他们想要的世界,用户将成为数字城镇广场的主人。

  • 特朗普的加密晚宴引发道德争议

    出席晚宴的人,如加密交易员 Nicholas Pinto,对活动糟糕的食物和不足的安保表示不满。