Cointime

Cointime

Download App
iOS & Android

Hố đen nuốt chửng: Lỗ hổng Vyper khiến Curve lật nhào kiên cố

Validated Project

Gần đây, giao thức tiền tệ siêu ổn định Curve đã bị tấn công bởi reentrancy, gây tổn thất nghiêm trọng. Sau đây là các đề xuất bảo mật và phân tích bảo mật của MetaTrust Labs cho cuộc tấn công này.

đánh giá sự kiện

Theo Twitter chính thức của Curve Finance, vào ngày 31 tháng 7 năm 2023, một số nhóm ổn định (alETH/msETH/pETH) được viết bằng Vyper phiên bản 0.2.15 đã bị tấn công vào lại. Curve Finance tuyên bố rằng cuộc tấn công là do khóa truy cập lại bị trục trặc trong phiên bản Vyper 0.2.15 và chỉ ảnh hưởng đến các nhóm sử dụng ETH thuần túy. Hiện tại, Curve đang đánh giá thiệt hại và các hồ bơi khác vẫn an toàn.

Theo phân tích của MetaTrust Labs, lỗ hổng này xuất hiện từ tháng 8 đến tháng 10 năm 2021, chủ yếu là do trình biên dịch phiên bản 0.2.15/0.2.16/0.3.0 của Vyper. Lý do của lỗ hổng bảo mật là logic truy cập lại trong mã byte được tạo sẽ không có hiệu lực do lỗi trong trình biên dịch.

Theo thống kê trên chuỗi, sự cố hack pool stablecoin Curve Finance đã gây ra khoản lỗ lũy kế 52 triệu đô la Mỹ trong các pool Alchemix, JPEG'd, CRV/ETH, v.v. Mã thông báo CRV của Curve Finance cũng bị ảnh hưởng nặng nề, giảm hơn 15% trong ngày.

Phân tích nguyên nhân

Lý do Curve Finance bị tấn công lần này là khi Curve sử dụng ngôn ngữ Vyper để viết hợp đồng thông minh, nó đã sử dụng phiên bản Vyper 0.2.15. một cuộc tấn công reentrancy để gây ra tổn thất. Lỗ hổng của Curve Finance lần này là lỗ hổng Language Specific.

Các lỗ hổng ngôn ngữ cụ thể đề cập đến các lỗ hổng gây ra bởi lỗi hoặc sự không tương thích trong một ngôn ngữ lập trình nhất định hoặc chính trình biên dịch. Những lỗ hổng như vậy thường rất khó tìm và ngăn chặn, bởi vì chúng không phải do sơ suất của nhà phát triển hoặc lỗi logic, mà do các vấn đề với nền tảng công nghệ cơ bản. Các loại lỗ hổng này cũng có xu hướng ảnh hưởng đến nhiều dự án hoặc hợp đồng vì tất cả chúng đều sử dụng cùng một ngôn ngữ hoặc trình biên dịch.

Vyper là ngôn ngữ lập trình hợp đồng thông minh dựa trên Python được thiết kế để bảo mật và dễ đọc hơn. Vyper tuyên bố là ngôn ngữ "an toàn trên hết" và không hỗ trợ một số tính năng có thể gây ra rủi ro bảo mật, chẳng hạn như lớp, thừa kế, sửa đổi, lắp ráp nội tuyến, v.v. Tuy nhiên, Vyper không hoàn hảo và nó vẫn có một số lỗi hoặc sơ hở có thể ảnh hưởng đến tính bảo mật của hợp đồng. Ví dụ: ngoài lỗi khóa người truy cập lại mà Curve Finance gặp phải lần này, Vyper cũng gặp phải các sự cố như mảng vượt quá giới hạn, tràn số nguyên và lỗi truy cập bộ nhớ.

biện pháp an ninh

Đối với cuộc tấn công vào lại của Curve Finance lần này, một số biện pháp đối phó đã được thực hiện hoặc đề xuất. Dưới đây là một số biện pháp đối phó bảo mật mà bạn có thể thực hiện:

  • Rút thanh khoản: Đối với các nhóm bị ảnh hưởng, người dùng có thể chọn rút thanh khoản để tránh tổn thất thêm. Curve Finance đã cung cấp một nút để rút thanh khoản trên trang web chính thức của mình, thuận tiện cho người dùng thao tác.
  • Nâng cấp trình biên dịch: Đối với các hợp đồng sử dụng trình biên dịch Vyper 0.2.15/0.2.16/0.3.0, bạn nên nâng cấp lên phiên bản Vyper 0.3.1 mới nhất, phiên bản này đã khắc phục sự cố khóa vào lại không thành công. Đồng thời, cũng nên sử dụng các công cụ hoặc phương pháp khác để xác minh tính bảo mật của hợp đồng, chẳng hạn như xác minh chính thức, kiểm tra mã, v.v.
  • Thận trọng: Đối với các hợp đồng được viết bằng Vyper hoặc các ngôn ngữ khác, bạn nên thận trọng, chú ý đến các bản cập nhật và sửa lỗi của ngôn ngữ hoặc trình biên dịch, đồng thời thực hiện các biện pháp cần thiết kịp thời để bảo vệ tài sản của mình. Đồng thời, người ta cũng khuyến nghị rằng khi sử dụng một ngôn ngữ mới hoặc công nghệ mới, hãy đánh giá cẩn thận sự trưởng thành và ổn định của nó, tránh theo đuổi sự mới mẻ hoặc hiệu quả một cách mù quáng.

tóm tắt

tóm tắt

Sự cố quay trở lại Curve Finance là một sự cố bảo mật đáng tiếc và là một bài học kích thích tư duy. Trong lĩnh vực tài chính phi tập trung (DeFi), bảo mật luôn là ưu tiên hàng đầu, các bên tham gia dự án cần không ngừng nâng cao nhận thức và năng lực bảo mật, bất kỳ chi tiết nào cũng có thể trở thành điểm đột phá để kẻ tấn công khai thác.

Theo chúng tôi

Twitter: @ MetaTrustLabs

Trang web: metatrust.io

hợp đồng thông minh
Các bình luận

Tất cả bình luận

Recommended for you

  • BTC vượt mốc 88.000 đô la

    Dữ liệu thị trường cho thấy BTC đã vượt qua mốc 88.000 đô la và hiện đang giao dịch ở mức 88.002,21 đô la, tăng 1,34% trong 24 giờ. Thị trường đang trải qua biến động mạnh, vì vậy hãy quản lý rủi ro của bạn cho phù hợp.

  • Bitwise tin rằng năm 2026 sẽ là một năm tăng trưởng mạnh mẽ đối với tiền điện tử và đã đưa ra mười dự đoán.

    Bitwise tin rằng năm 2026 sẽ là năm bùng nổ của thị trường tiền điện tử. Từ việc được các tổ chức chấp nhận đến những tiến bộ về quy định, xu hướng tích cực hiện tại của tiền điện tử quá mạnh mẽ để có thể bị kìm hãm trong thời gian dài. Dưới đây là mười dự đoán hàng đầu của Bitwise cho năm tới: Dự đoán 1: Bitcoin sẽ phá vỡ chu kỳ bốn năm và đạt mức cao nhất mọi thời đại mới. Dự đoán 2: Độ biến động của Bitcoin sẽ thấp hơn Nvidia. Dự đoán 3: Các quỹ ETF sẽ mua hơn 100% nguồn cung Bitcoin, Ethereum và Solana mới khi nhu cầu từ các tổ chức tăng tốc. Dự đoán 4: Cổ phiếu tiền điện tử sẽ vượt trội hơn cổ phiếu công nghệ. Dự đoán 5: Khối lượng giao dịch mở của Polymarket sẽ đạt mức cao nhất mọi thời đại mới, vượt qua mức được thấy trong cuộc bầu cử năm 2024. Dự đoán 6: Stablecoin sẽ bị cáo buộc làm suy yếu sự ổn định của các loại tiền tệ thị trường mới nổi. Dự đoán 7: Các kho lưu trữ trên chuỗi (còn được gọi là "ETF 2.0") sẽ tăng gấp đôi tài sản được quản lý. Dự đoán 8: Ethereum và Solana sẽ đạt mức cao kỷ lục mới (nếu Đạo luật CLARITY được thông qua). Dự đoán 9: Một nửa quỹ tài trợ của các trường đại học thuộc Ivy League sẽ được đầu tư vào tiền điện tử. Dự đoán 10: Hoa Kỳ sẽ ra mắt hơn 100 quỹ ETF liên kết với tiền điện tử. Dự đoán bổ sung: Mối tương quan giữa Bitcoin và cổ phiếu sẽ giảm.

  • Công ty đầu tư bất động sản Trung Quốc có kế hoạch mua và nắm giữ BNB như một tài sản dự trữ chiến lược.

    Công ty Đầu tư Bất động sản Trung Quốc (00736) thông báo rằng, để thúc đẩy chiến lược đa dạng hóa phân bổ tài sản và nắm bắt cơ hội trong sự phát triển của nền kinh tế số, công ty đã quyết định sử dụng nguồn vốn tự có để mua và nắm giữ BNB (Binance Coin) và các tài sản kỹ thuật số phù hợp khác trên thị trường mở như tài sản dự trữ chiến lược, tuân thủ các luật và quy định liên quan cũng như kiểm soát rủi ro. Công ty lạc quan về triển vọng phát triển dài hạn của ngành tài sản kỹ thuật số và hoàn toàn tin tưởng vào đơn vị vận hành mà BNB dựa vào, nghiên cứu và phát triển công nghệ, bố cục hệ sinh thái và năng lực cạnh tranh trong ngành, nhận thấy tiềm năng phát triển dài hạn và không gian tăng trưởng giá trị trong lĩnh vực blockchain. Toàn bộ nguồn vốn được sử dụng trong kế hoạch này sẽ đến từ nguồn vốn tự có hiện có của công ty, việc phân bổ vốn tuân thủ các tiêu chuẩn quản lý tài chính và kế hoạch kinh doanh tổng thể của công ty, và sẽ không ảnh hưởng đến hoạt động kinh doanh thường nhật của công ty. Hội đồng quản trị sẽ thực hiện việc mua theo từng đợt trong giới hạn cho phép, tùy thuộc vào điều kiện thị trường.

  • Giám đốc Hội đồng Kinh tế Quốc gia Nhà Trắng, ông Hassett: Với những tín hiệu tích cực từ phía cung, vẫn còn nhiều dư địa để giảm lãi suất.

    Giám đốc Hội đồng Kinh tế Quốc gia Nhà Trắng, ông Hassett: Với những tín hiệu tích cực từ phía cung, vẫn còn nhiều dư địa để giảm lãi suất.

  • Công ty thanh toán stablecoin RedotPay hoàn tất vòng gọi vốn Series B trị giá 107 triệu đô la.

    RedotPay, một công ty fintech có trụ sở tại Hồng Kông tập trung vào thanh toán bằng stablecoin, đã thông báo hoàn tất vòng gọi vốn Series B trị giá 107 triệu đô la do Goodwater Capital dẫn đầu, với sự tham gia của Pantera Capital, Blockchain Capital, Circle Ventures và nhà đầu tư hiện tại HSG (trước đây là Sequoia Capital China).

  • Binance Alpha sẽ niêm yết cổ phiếu Theoriq (THQ) vào lúc 22:00.

    Binance Alpha đã niêm yết Theoriq (THQ), và giao dịch Alpha sẽ bắt đầu vào ngày 16 tháng 12 năm 2025 lúc 22:00 (UTC+8). Người dùng sở hữu ít nhất 220 điểm Binance Alpha có thể nhận airdrop token. Nhận 400 token THQ thông qua trang sự kiện Alpha. Sự kiện này sử dụng mô hình "điểm giảm dần"; nhận airdrop trong phút đầu tiên sẽ tiêu tốn 30 điểm Binance Alpha. Nếu sự kiện tiếp tục, số điểm cần thiết sẽ giảm 1 điểm mỗi phút sau đó, xuống mức tối thiểu là 10 điểm.

  • Số lượng việc làm trong chính phủ Mỹ đã giảm 157.000 người trong tháng 10.

    Cục Thống kê Lao động Hoa Kỳ đã công bố báo cáo việc làm phi nông nghiệp tháng 11 và một số dữ liệu việc làm phi nông nghiệp tháng 10. Dữ liệu cho thấy số lượng việc làm phi nông nghiệp của Hoa Kỳ đã tăng 64.000 trong tháng 11. Trong số các ngành khác nhau, mức tăng lớn nhất là ở lĩnh vực chăm sóc sức khỏe và trợ giúp xã hội, với 64.000 việc làm được tạo ra, trong khi mức giảm lớn nhất là ở lĩnh vực vận tải và kho bãi, với 17.700 việc làm bị mất. Trong tháng 10, số lượng việc làm phi nông nghiệp giảm mạnh 105.000, với mức giảm lớn nhất ở khu vực chính phủ, giảm 157.000 việc làm, đánh dấu tháng thứ hai liên tiếp mất việc làm; mức tăng lớn nhất là ở lĩnh vực chăm sóc sức khỏe và trợ giúp xã hội, với 64.600 việc làm được tạo ra.

  • Tháng 10 vừa qua, tỷ lệ việc làm tại Mỹ đã giảm mạnh nhất kể từ cuối năm 2020.

    Dữ liệu do Cục Thống kê Lao động Hoa Kỳ công bố hôm thứ Ba cho thấy số lượng việc làm phi nông nghiệp tăng 64.000 trong tháng 11, so với mức giảm 105.000 trong tháng 10. Tỷ lệ thất nghiệp tháng trước là 4,6%, tăng từ 4,4% trong tháng 9, mức cao nhất kể từ năm 2021. Cục Thống kê Lao động đã phải bỏ qua việc công bố tỷ lệ thất nghiệp tháng 10 vì không thể thu thập dữ liệu hồi tố sau khi chính phủ đóng cửa. Sự sụt giảm việc làm trong tháng 10 là mức giảm lớn nhất kể từ cuối năm 2020, khi những người lao động tham gia chương trình tự nguyện thôi việc của chính quyền Trump chính thức rời khỏi danh sách việc làm, dẫn đến giảm 162.000 việc làm trong chính phủ liên bang.

  • Tỷ lệ thất nghiệp ở Mỹ tăng đột biến bất ngờ trong tháng 11 có thể thu hút sự chú ý của Cục Dự trữ Liên bang; sự phục hồi của tỷ lệ tham gia lực lượng lao động dự kiến ​​sẽ làm giảm bớt một số lo ngại.

    Phân tích nhanh của nhà phân tích Anstey về báo cáo việc làm phi nông nghiệp của Mỹ chỉ ra rằng dữ liệu việc làm phi nông nghiệp tháng 11 đã vượt nhẹ kỳ vọng, ghi nhận 64.000 việc làm mới. Tỷ lệ thất nghiệp bất ngờ tăng lên 4,6% trong tháng 11, điều này có thể thu hút sự chú ý của Cục Dự trữ Liên bang. Tuy nhiên, tỷ lệ tham gia lực lượng lao động đã tăng lên, vì vậy sự gia tăng tỷ lệ thất nghiệp có thể không hoàn toàn là tin xấu; chúng ta vẫn cần xem xét kỹ hơn các dữ liệu cụ thể. Chỉ số tương lai chứng khoán Mỹ tăng, và lợi suất trái phiếu kho bạc Mỹ kỳ hạn hai năm giảm - dựa trên hiệu suất yếu kém của dữ liệu việc làm phi nông nghiệp trong những tháng gần đây, kỳ vọng của thị trường về việc Cục Dự trữ Liên bang tiếp tục nới lỏng tiền tệ đã tăng lên. Cần lưu ý rằng dữ liệu tháng 8 và tháng 9 cũng đã được điều chỉnh giảm tổng cộng 33.000 việc làm.

  • Cục Thống kê Lao động Hoa Kỳ: Không thể định lượng được tác động của việc chính phủ đóng cửa đối với cuộc khảo sát việc làm tháng 10-11.

    Cục Thống kê Lao động Hoa Kỳ: Không thể định lượng được tác động của việc chính phủ đóng cửa đối với cuộc khảo sát việc làm tháng 10-11.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty