"Trust but verify"(信任,但要核查),不要做“事后诸葛亮”。最厉害的 bug 都是灯下黑。
这是一场与黑客的竞赛。
值得庆幸的是,人们还将其与只读重入混淆。摘自 “Web3 安全警报” 频道-Alchemix 和 Metronome DAO 也因只读重入 bug 遭到黑客攻击
衍生品协议Vyper Protocol将从Serum DAO获得50万枚SRM开发赠款:金色财经消息,链上衍生品协议Vyper Protocol宣布其从Serum DAO申请50万枚SRM的开发赠款获得批准。Vyper Protocol已于上周上线devnet,允许用户创建、交易和结算链上衍生品。[2022/7/25 2:36:41]
Michael 发现运行 0.2.15 版本的 alETH 和 msETH 池也存在潜在漏洞。
14:50 UTC msETH/ETH 被耗尽。
15:34 UTC alETH/ETH 被耗尽。
15:43 UTC 我们发现用 Vyper 版本 0.3.0 编译的CRV/ETH 存在漏洞。我们必须尽可能长时间保密受影响的合约,这一点至关重要。
16:11 UTC 我们开始研究白帽漏洞。
不幸的是,太多的组织在同时进行独立研究,谣言四起。16:44 UTC,我们决定针对受影响的版本发布公开声明。
zkSync 2.0测试网现已支持以太坊编程语言Vyper:7月19日消息,以太坊Layer 2扩容解决方案zkSync公告表示,zkSync 2.0测试网现已支持以太坊编程语言Vyper 0.3.3。此外,zkSync表示将于本周晚些时候发布另一则公告。[2022/7/19 2:24:03]
到 18:32 UTC,我们有了一个可用于潜在白帽拯救的概念证明漏洞。Chainlight 的 bpak 也同时在研究一个漏洞,并于 19:06 UTC 分享。
五分钟后,19:11 UTC,有人盗走了资金。
攻击结构与我们的概念证明有很大不同,不太可能是我们团队泄密。无论如何,这非常令人沮丧。
尽管如此,还有很多事情要做。
21:26 UTC Addison 提出了一个雄心勃勃的计划,拯救 CRVETH 池中的剩余资产。
21:52 UTC bpak 做了一个可行的概念证明,可以拯救 3100 ETH。
十分钟后,22:02 UTC,我们再次被击败。出乎意料的是,CRV 管理费用机器人已被取走资金,并且池子已耗尽。
责备(Balme) 是一个很强烈的词。指责是没有用的。我认为思考一下哪些方面可以做得更好才是有用的。
白帽的努力都在不到半小时的时间内被击败。有时候,每一秒都非常重要。
也许可以有更好的准备和资源来执行这些攻击。同时,这似乎是一把双刃剑。把如何执行黑客攻击的信息汇总起来真的是个好主意吗?我们应该信任谁?
另一方面,我认为整个过程非常有效。我们在 2 小时 4 分钟内从最初的怀疑到确认出谁易受攻击。
我既是审计员又是白帽黑客。
审计行业有着特有的发布文化。我们因技术思想领先和对漏洞的深刻理解而获得报酬。证明他们的领先与深刻的一种方法是发布有关黑客行为的“独家新闻”。研究人员花费巨大,而投资的回报就是宣传。
另一方面,有一个令人信服的论点认为:受影响版本的早期披露会对白帽拯救产生重大影响。
如果再多半小时,就可以拯救 1800 万美元。
审计师不会为他们的报告所造成的影响付出代价。相反,他们会得到点赞、转发和报道。这似乎是一个问题。
我不同意“我们需要形式化验证来解决这个问题”之类的观点。这个错误可以通过单元测试来捕获。形式化验证对于许多错误类型都非常有用,但我不相信它对于相对简单的、未优化编译器也同样有用。
需要注意的是,这个错误在 2021 年 11 月已修复。
我认为这个 Vyper 漏洞不是 Vyper 团队的技术或语言本身的问题,更多是流程问题。这个错误在很久以前的版本已被修复,但在修复的时候并没有意识到它的潜在影响。
不幸的是,公共物品很容易被忽略。由于合约不可变性,项目会隐性依赖多年前编写的代码。协议开发人员和安全专家应该了解整个执行堆栈的最新安全开发情况。
登链社区
个人专栏
阅读更多
Foresight News
金色财经 Jason.
白话区块链
金色早8点
LD Capital
-R3PO
MarsBit
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。