Cointime

Cointime

Download App
iOS & Android

Hố đen nuốt chửng: Lỗ hổng Vyper khiến Curve lật nhào kiên cố

Validated Project

Gần đây, giao thức tiền tệ siêu ổn định Curve đã bị tấn công bởi reentrancy, gây tổn thất nghiêm trọng. Sau đây là các đề xuất bảo mật và phân tích bảo mật của MetaTrust Labs cho cuộc tấn công này.

đánh giá sự kiện

Theo Twitter chính thức của Curve Finance, vào ngày 31 tháng 7 năm 2023, một số nhóm ổn định (alETH/msETH/pETH) được viết bằng Vyper phiên bản 0.2.15 đã bị tấn công vào lại. Curve Finance tuyên bố rằng cuộc tấn công là do khóa truy cập lại bị trục trặc trong phiên bản Vyper 0.2.15 và chỉ ảnh hưởng đến các nhóm sử dụng ETH thuần túy. Hiện tại, Curve đang đánh giá thiệt hại và các hồ bơi khác vẫn an toàn.

Theo phân tích của MetaTrust Labs, lỗ hổng này xuất hiện từ tháng 8 đến tháng 10 năm 2021, chủ yếu là do trình biên dịch phiên bản 0.2.15/0.2.16/0.3.0 của Vyper. Lý do của lỗ hổng bảo mật là logic truy cập lại trong mã byte được tạo sẽ không có hiệu lực do lỗi trong trình biên dịch.

Theo thống kê trên chuỗi, sự cố hack pool stablecoin Curve Finance đã gây ra khoản lỗ lũy kế 52 triệu đô la Mỹ trong các pool Alchemix, JPEG'd, CRV/ETH, v.v. Mã thông báo CRV của Curve Finance cũng bị ảnh hưởng nặng nề, giảm hơn 15% trong ngày.

Phân tích nguyên nhân

Lý do Curve Finance bị tấn công lần này là khi Curve sử dụng ngôn ngữ Vyper để viết hợp đồng thông minh, nó đã sử dụng phiên bản Vyper 0.2.15. một cuộc tấn công reentrancy để gây ra tổn thất. Lỗ hổng của Curve Finance lần này là lỗ hổng Language Specific.

Các lỗ hổng ngôn ngữ cụ thể đề cập đến các lỗ hổng gây ra bởi lỗi hoặc sự không tương thích trong một ngôn ngữ lập trình nhất định hoặc chính trình biên dịch. Những lỗ hổng như vậy thường rất khó tìm và ngăn chặn, bởi vì chúng không phải do sơ suất của nhà phát triển hoặc lỗi logic, mà do các vấn đề với nền tảng công nghệ cơ bản. Các loại lỗ hổng này cũng có xu hướng ảnh hưởng đến nhiều dự án hoặc hợp đồng vì tất cả chúng đều sử dụng cùng một ngôn ngữ hoặc trình biên dịch.

Vyper là ngôn ngữ lập trình hợp đồng thông minh dựa trên Python được thiết kế để bảo mật và dễ đọc hơn. Vyper tuyên bố là ngôn ngữ "an toàn trên hết" và không hỗ trợ một số tính năng có thể gây ra rủi ro bảo mật, chẳng hạn như lớp, thừa kế, sửa đổi, lắp ráp nội tuyến, v.v. Tuy nhiên, Vyper không hoàn hảo và nó vẫn có một số lỗi hoặc sơ hở có thể ảnh hưởng đến tính bảo mật của hợp đồng. Ví dụ: ngoài lỗi khóa người truy cập lại mà Curve Finance gặp phải lần này, Vyper cũng gặp phải các sự cố như mảng vượt quá giới hạn, tràn số nguyên và lỗi truy cập bộ nhớ.

biện pháp an ninh

Đối với cuộc tấn công vào lại của Curve Finance lần này, một số biện pháp đối phó đã được thực hiện hoặc đề xuất. Dưới đây là một số biện pháp đối phó bảo mật mà bạn có thể thực hiện:

  • Rút thanh khoản: Đối với các nhóm bị ảnh hưởng, người dùng có thể chọn rút thanh khoản để tránh tổn thất thêm. Curve Finance đã cung cấp một nút để rút thanh khoản trên trang web chính thức của mình, thuận tiện cho người dùng thao tác.
  • Nâng cấp trình biên dịch: Đối với các hợp đồng sử dụng trình biên dịch Vyper 0.2.15/0.2.16/0.3.0, bạn nên nâng cấp lên phiên bản Vyper 0.3.1 mới nhất, phiên bản này đã khắc phục sự cố khóa vào lại không thành công. Đồng thời, cũng nên sử dụng các công cụ hoặc phương pháp khác để xác minh tính bảo mật của hợp đồng, chẳng hạn như xác minh chính thức, kiểm tra mã, v.v.
  • Thận trọng: Đối với các hợp đồng được viết bằng Vyper hoặc các ngôn ngữ khác, bạn nên thận trọng, chú ý đến các bản cập nhật và sửa lỗi của ngôn ngữ hoặc trình biên dịch, đồng thời thực hiện các biện pháp cần thiết kịp thời để bảo vệ tài sản của mình. Đồng thời, người ta cũng khuyến nghị rằng khi sử dụng một ngôn ngữ mới hoặc công nghệ mới, hãy đánh giá cẩn thận sự trưởng thành và ổn định của nó, tránh theo đuổi sự mới mẻ hoặc hiệu quả một cách mù quáng.

tóm tắt

tóm tắt

Sự cố quay trở lại Curve Finance là một sự cố bảo mật đáng tiếc và là một bài học kích thích tư duy. Trong lĩnh vực tài chính phi tập trung (DeFi), bảo mật luôn là ưu tiên hàng đầu, các bên tham gia dự án cần không ngừng nâng cao nhận thức và năng lực bảo mật, bất kỳ chi tiết nào cũng có thể trở thành điểm đột phá để kẻ tấn công khai thác.

Theo chúng tôi

Twitter: @ MetaTrustLabs

Trang web: metatrust.io

hợp đồng thông minh
Các bình luận

Tất cả bình luận

Recommended for you

  • Văn phòng gia đình: từ đầu tư thận trọng đến giải pháp tài chính sáng tạo và chiến lược đầu tư hiện đại

    Rami Harajli, giám đốc đầu tư của International Venture Capital Holdings, cho biết văn phòng gia đình có truyền thống tập trung vào các chiến lược đầu tư thận trọng, chủ yếu đầu tư vào trái phiếu, bất động sản và hàng hóa, nhưng hiện đã chuyển sang các khoản đầu tư thay thế, vốn cổ phần tư nhân, đồng đầu tư, liên doanh. vốn và đầu tư tác động. Dẫn đầu trong lĩnh vực này. Các văn phòng gia đình đang áp dụng các chiến lược đổi mới vượt xa các phương pháp đầu tư truyền thống để phù hợp hơn với các mục tiêu dài hạn của họ. Công nghệ AI đã được triển khai một cách chiến lược trong các lĩnh vực quan trọng và sự tích hợp này phản ánh cam kết của văn phòng gia đình trong việc thúc đẩy sự đổi mới để lập kế hoạch chiến lược sáng suốt và có tác động. Theo Báo cáo của Văn phòng Gia đình Toàn cầu của UBS, 78% văn phòng gia đình cho biết họ có khả năng đầu tư vào AI trong vòng hai đến ba năm tới.

  • XEX chính thức ra mắt hợp đồng vĩnh viễn Slerf/USDT vào lúc 19:00 ngày 22 tháng 11 (UTC+8)

    Theo tin tức ngày 22 tháng 11, XEX đã chính thức ra mắt hợp đồng vĩnh viễn Slerf/USDT vào lúc 19:00 ngày 22 tháng 11 (UTC+8).

  • CEO Galaxy: Các thành viên nội các của Trump thường nắm giữ Bitcoin và là những người ủng hộ tài sản kỹ thuật số

    Theo tin tức ngày 22 tháng 11, Giám đốc điều hành Galaxy Digital Michael Novogratz gần đây đã tuyên bố rằng chính quyền Trump đã mang lại một “sự thay đổi mô hình” trong quy định về tiền điện tử. Ông chỉ ra rằng hầu hết tất cả các thành viên nội các của Trump đều nắm giữ Bitcoin và là những người ủng hộ tài sản kỹ thuật số. Họ thường ủng hộ sự đổi mới, tài sản kỹ thuật số và sự phát triển của Bitcoin.

  • Nguồn: a16z dự kiến ​​​​sẽ có được một ghế trong ban cố vấn tiền điện tử của Trump

    Theo tin tức ngày 22 tháng 11, theo nhiều giám đốc điều hành ngành tài sản kỹ thuật số, nhiều công ty mã hóa như Ripple, Kraken và Circle đang tranh giành các ghế trong ban cố vấn tiền điện tử mà Tổng thống đắc cử Trump hứa sẽ thành lập, nhằm tìm cách tác động đến các chính sách đã được hoạch định của Hoa Kỳ. Cải cách có tiếng nói. Một nguồn tin cho biết a16z, chi nhánh tiền điện tử của gã khổng lồ đầu tư mạo hiểm Andreessen Horowitz, dự kiến ​​sẽ có được ghế. Người phát ngôn của a16z đã từ chối bình luận về vấn đề này.

  • BTC vượt qua mức 98.500 USD

    Tình hình thị trường cho thấy BTC đã vượt quá 98.500 USD và hiện đang giao dịch ở mức 98.501,24 USD, với mức tăng 0,84% trong 24 giờ. Thị trường biến động rất lớn, vì vậy hãy kiểm soát rủi ro.

  • Vương quốc Anh có kế hoạch soạn thảo khung pháp lý cho ngành công nghiệp tiền điện tử vào đầu năm tới

    Bộ trưởng Kinh tế Anh Tulip Siddiq phát biểu tại một hội nghị rằng Vương quốc Anh có kế hoạch phát triển khung pháp lý cho ngành công nghiệp tiền điện tử vào đầu năm tới. Các quy tắc sẽ áp dụng cho stablecoin và dịch vụ vốn cổ phần, đồng thời sẽ chấm dứt những tháng tháng đầy bất ổn trong ngành. Theo Bloomberg, tin tức này là tin tốt cho thị trường tiền điện tử.

  • Ủy viên CFTC kêu gọi tăng tốc cải cách chính sách tiền điện tử

    Ủy viên Ủy ban Giao dịch Hàng hóa Tương lai Hoa Kỳ (CFTC) Summer Mersinger đã có bài phát biểu tại Hội nghị Thượng đỉnh Blockchain Bắc Mỹ, kêu gọi phát triển các chính sách tiêu chuẩn về tiền điện tử thông qua quy trình thông báo và nhận xét chính thức. Mersinger cho biết có vấn đề với cách tiếp cận “quy định theo phong cách thực thi” hiện tại của các cơ quan quản lý đối với ngành công nghiệp tiền điện tử, đặc biệt trích dẫn trường hợp của Uniswap Labs. Cô nhấn mạnh rằng CFTC là “cơ quan quản lý lý tưởng cho thị trường tiền điện tử giao ngay” nhờ khả năng thực hiện nhanh chóng những thay đổi pháp lý quan trọng mà không làm gián đoạn thị trường. Mersinger lưu ý rằng mặc dù các thực thể tiền điện tử, bao gồm cả DeFi tài chính phi tập trung, thường được gộp vào các danh mục hiện có và được yêu cầu tuân thủ các luật tương tự, nhưng hiện tại không có con đường đăng ký chính thức nào. Bà gợi ý rằng ngành công nghiệp tiền điện tử nên bắt đầu tiếp cận ngay khi ban lãnh đạo mới của chính phủ quyết tâm tạo điều kiện cho đối thoại sớm. Điều đáng chú ý là thỏa thuận gần đây của CFTC với Uniswap tương đối nhỏ, phản ánh những thay đổi tinh tế trong thái độ quản lý.

  • Binance tăng cường bộ phận tuân thủ, dự kiến ​​sẽ có 645 nhân viên tuân thủ toàn thời gian vào cuối năm nay

    Binance, sàn giao dịch tiền điện tử lớn nhất thế giới, cho biết họ dự kiến ​​sẽ tăng số nhân viên tuân thủ toàn thời gian lên 645 vào cuối năm nay, tăng 34% so với tháng 11 năm ngoái, khi họ tiếp tục nhanh chóng mở rộng bộ phận tuân thủ của mình. Theo thông cáo báo chí của Binance hôm thứ Sáu, bao gồm cả các nhà thầu, sàn giao dịch tiền điện tử đã có hơn 1.000 nhân viên tập trung vào việc tuân thủ. Sự tập trung mạnh mẽ của Binance vào việc tuân thủ quy định là tương đối mới, chỉ một năm trước, sàn giao dịch đã đồng ý trả khoản tiền phạt khổng lồ 4,3 tỷ USD vì vi phạm Đạo luật Bảo mật Ngân hàng (BSA) và cố tình lách các lệnh trừng phạt quốc tế.

  • MicroStrategy tăng 6% trước khi chứng khoán Mỹ mở cửa

    MicroStrategy đã tăng 6% trước khi thị trường chứng khoán Mỹ mở cửa nhưng đóng cửa giảm hơn 16% vào ngày hôm qua.

  • Bitcoin tiến gần mốc 100.000 USD, ADA đạt mức cao nhất kể từ tháng 5 năm 2022

    ADA của Cardano đạt mức cao nhất kể từ tháng 5 năm 2022. Hoạt động trên chuỗi cho thấy các nhà giao dịch lớn đang tham gia vào việc tăng giá. UnmuteBitcoin phá kỷ lục mới 98.000 USD khi MicroStrategy tăng vọt và Trump coi là ‘bộ trưởng tiền điện tử’. Khi Bitcoin (BTC) lần đầu tiên đạt mốc 100.000 USD, nguồn vốn đang chuyển sang các loại tiền điện tử thay thế, gây xôn xao khắp thị trường tiền điện tử.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty