木星链 木星链
Ctrl+D收藏木星链

BSP:Vyper 被黑的时间线和反思

作者:

时间:1900/1/1 0:00:00

"Trust but verify"(信任,但要核查),不要做“事后诸葛亮”。最厉害的 bug 都是灯下黑。

这是一场与黑客的竞赛。

值得庆幸的是,人们还将其与只读重入混淆。摘自 “Web3 安全警报” 频道-Alchemix 和 Metronome DAO 也因只读重入 bug 遭到黑客攻击

Michael 发现运行 0.2.15 版本的 alETH 和 msETH 池也存在潜在漏洞。

14:50 UTC msETH/ETH 被耗尽。

以太坊编程语言Vyper 0.2.15、0.2.16和0.3.0版本发生重入锁故障:7月31日消息,以太坊编程语言Vyper发推称,Vyper 0.2.15、0.2.16 和 0.3.0 版本受到重入锁故障的影响,调查仍在进行中。[2023/7/31 16:08:10]

15:34 UTC alETH/ETH 被耗尽。

15:43 UTC 我们发现用 Vyper 版本 0.3.0 编译的CRV/ETH 存在漏洞。我们必须尽可能长时间保密受影响的合约,这一点至关重要。

16:11 UTC 我们开始研究白帽漏洞。

不幸的是,太多的组织在同时进行独立研究,谣言四起。16:44 UTC,我们决定针对受影响的版本发布公开声明。

到 18:32 UTC,我们有了一个可用于潜在白帽拯救的概念证明漏洞。Chainlight 的 bpak 也同时在研究一个漏洞,并于 19:06 UTC 分享。

五分钟后,19:11 UTC,有人盗走了资金。

攻击结构与我们的概念证明有很大不同,不太可能是我们团队泄密。无论如何,这非常令人沮丧。

尽管如此,还有很多事情要做。

21:26 UTC Addison 提出了一个雄心勃勃的计划,拯救 CRVETH 池中的剩余资产。

21:52 UTC bpak 做了一个可行的概念证明,可以拯救 3100 ETH。

十分钟后,22:02 UTC,我们再次被击败。出乎意料的是,CRV 管理费用机器人已被取走资金,并且池子已耗尽。

责备(Balme) 是一个很强烈的词。指责是没有用的。我认为思考一下哪些方面可以做得更好才是有用的。

白帽的努力都在不到半小时的时间内被击败。有时候,每一秒都非常重要。

也许可以有更好的准备和资源来执行这些攻击。同时,这似乎是一把双刃剑。把如何执行黑客攻击的信息汇总起来真的是个好主意吗?我们应该信任谁?

另一方面,我认为整个过程非常有效。我们在 2 小时 4 分钟内从最初的怀疑到确认出谁易受攻击。

我既是审计员又是白帽黑客。

审计行业有着特有的发布文化。我们因技术思想领先和对漏洞的深刻理解而获得报酬。证明他们的领先与深刻的一种方法是发布有关黑客行为的“独家新闻”。研究人员花费巨大,而投资的回报就是宣传。

另一方面,有一个令人信服的论点认为:受影响版本的早期披露会对白帽拯救产生重大影响。

如果再多半小时,就可以拯救 1800 万美元。

审计师不会为他们的报告所造成的影响付出代价。相反,他们会得到点赞、转发和报道。这似乎是一个问题。

我不同意“我们需要形式化验证来解决这个问题”之类的观点。这个错误可以通过单元测试来捕获。形式化验证对于许多错误类型都非常有用,但我不相信它对于相对简单的、未优化编译器也同样有用。

需要注意的是,这个错误在 2021 年 11 月已修复。

我认为这个 Vyper 漏洞不是 Vyper 团队的技术或语言本身的问题,更多是流程问题。这个错误在很久以前的版本已被修复,但在修复的时候并没有意识到它的潜在影响。

不幸的是,公共物品很容易被忽略。由于合约不可变性,项目会隐性依赖多年前编写的代码。协议开发人员和安全专家应该了解整个执行堆栈的最新安全开发情况。

登链社区

个人专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

标签:BSPNBSUTCETHBSPAYnbs币前景utc币圈ETHPLO价格

酷币交易所热门资讯
AIG:AIGC创业 用爬虫技术做个知乎版GPT机器人合法吗?

今年,GPT、AI绘画等人工智能大模型工具火热,许多人也想来追一波AI创业热潮,相关创业项目层出不穷。优质数据对AI大模型训练至关重要,只有拥有足够多的数据,才能训练出智能、强大的AI工具.

1900/1/1 0:00:00
CUR:Curve这次遭遇的漏洞利用 或许为黑客们打开了新思路

作者:Jaleel,BlockBeats 随着一场漏洞利用事件的发生,DeFi 行业陷入了一场混乱.

1900/1/1 0:00:00
EKE:聚焦MEKE:去中心化衍生品交易的新商机已来

做Layer2,似乎成为了一种热潮。从Mantle Network、Linea等新兴项目到Cele等老牌公链,都在积极探索和实施Layer2解决方案.

1900/1/1 0:00:00
EKE:MEKE—OpBNB链上首个去中心化衍生品交易协议

近日,香港金发局发布的2022/23年报(下称“年报”)指出,香港正在将自己定位为开发虚拟资产的全球领导者.

1900/1/1 0:00:00
ETH:A轮获资1200万美元 企业级LSD协议开发商Alluvial 有何特别?

作者:金色财经,Climber7 月 11 日,面向机构客户的流动性质押协议 Liquid Collective 开发商 Alluviall 宣布完成 1200 万美元 A 轮融资.

1900/1/1 0:00:00
NBS:Cregis Research观察:以太坊三个转变引发的新问题

以太坊作为一种开放、可编程的区块链平台,不仅是数字货币的基础设施,还为开发者提供了构建去中心化应用(DAPP)和智能合约的环境.

1900/1/1 0:00:00