ETH:多个项目因Vyper重入锁漏洞造成的损失已超5900w美元 你的资金还安全吗？_UID

2023年7月30日晚，多个项目迎来至暗时刻。

7 月 30 日 21：35左右，据Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，NFT 借贷协议JPEG'd项目遭遇攻击。

在Beosin安全团队正在分析之时，又有几个项目接连受损。

7 月 30 日 22:51左右，msETH-ETH池子被黑客突袭。

7 月 30 日 23:35左右，alETH-ETH 池子被同样的攻击方式破解。

紧接着，DeFi项目Alchemix、Metronome 项目归属的流动性池子相继遭遇攻击。

同一个攻击方式，被黑客多次利用，到底是哪里出了问题？

根据7 月 31 日凌晨以太坊编程语言 Vyper 发推表示，Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁有漏洞，加上原生的ETH可以在转账时调callback，导致这几个和ETH组的lp池子可以被重入攻击。

多个主流加密协议发布相同“Soon”短视频:4月3日消息，多个主流加密协议发布发布相同“Soon”短视频，包括数字资产管理平台 Safe（原 Gnosis Safe）、去中心化交易平台 Balancer、以太坊智能合约自动执行工具 Gelato Network 等。[2023/4/4 13:42:53]

接着Curve官方推特发文表示，由于重入锁出现故障，许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击，但其他池子是安全的。

以下为本次黑客攻击事件涉及的相关交易

●攻击交易

0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964 0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801

OKX CMO：未来两周将推出多个重要功能的更新:11月21日，OKX CMO Haider 发推称，将在未来两周迎来多个重要功能的更新，包括针对全球用户的POR资金证明功能和针对机构用户的相关功能。内部人士透露，这此举将极大提升用户的资产透明度。 详情可留意OKX官方公告动态。[2022/11/21 7:52:36]

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

0xcd99fadd7e28a42a063e07d9d86f67c88e10a7afe5921bd28cd1124924ae2052

●攻击者地址

0xC0ffeEBABE5D496B2DDE509f9fa189C25cF29671

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8

BlockFi：正与多个监管机构积极对话:加密资产借贷平台BlockFi发推称，BlockFi正与多个监管机构积极对话，此前新泽西州证券局要求在该州停止运营的命令的生效日期已被推迟至9月2日生效。在此期间居住在新泽西州的居民不得创建新的BlockFi利息账户（BIA），但该命令不影响目前已有的的BIA客户和任何其他产品。此前报道，此前新泽西州证券局要求BlockFi利息账户(BIA)从2021年7月22日起停止接受居住在新泽西州的新BIA客户，后续该命令又被推迟至7月29日生效。[2021/7/29 1:22:14]

0x6Ec21d1868743a44318c3C259a6d4953F9978538

0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324

●被攻击合约

0xc897b98272AA23714464Ea2A0Bd5180f1B8C0025

0xC4C319E2D4d66CcA4464C0c2B32c9Bd23ebe784e

声音 | Ripple法律顾问：Ripple已经与全球50多个监管机构和决策者进行了接触:据DailyHodl 6月16日消息，Ripple法律顾问Stuart Alderoty在一次采访中谈到Ripple与监管机构合作的努力。Alderoty告诉表示，Ripple经常与世界各地的代表接触，教他们关于区块链和加密货币的知识。“我们有政府事务，在美国、欧洲和亚太地区有全职代表。我们定期与监管机构会面，教育他们，让他们对我们正在做的和试图做的事情更放心，这是为了解决现实世界中的问题，即能够在没有很多摩擦和费用的情况下跨境转移资金。我们也是美联储快速支付工作组的成员。我们为各国央行举办了一次峰会，以进一步了解区块链。我们经常在小组讨论会上发言。监管机构经常邀请我们来演讲或在小组中任职。我想说，在这个问题上，我们已经与全球50多个监管机构和决策者进行了接触。”[2019/6/16]

0x9848482da3Ee3076165ce6497eDA906E66bB85C5

0x8301AE4fc9c624d1D396cbDAa1ed877821D7C511

OCN多个账号向同一地址转出大量OCN:据etherscan.io交易信息显示，大约从今日12点30分左右，有多个账户转移了大量的OCN到同一个账户（0x2b5634c42055806a59e9107ed44d43c426e58258），疑似出现智能合约漏洞。早些时候EDU智能合约出现漏洞，可转走任意账户的 EDU Token。OCN现均价0.0157美元，跌幅8.12%。[2018/5/24]

根据Beosin安全团队的分析，本次攻击主要是源于是Vyper 0.2.15的防重入锁失效，攻击者在调用相关流动性池子的remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性，由于余额更新在重入进add_liquidity函数之前，导致价格计算出现错误。

黑客攻击准备阶段，首先通过balancer:Vault闪电贷借出10,000枚ETH作为攻击资金。

1. 第一步，攻击者调用add_liquidity函数将闪电贷借入的5000ETH添加进池子中。

2.第二步，随后攻击者调用remove_liquidity函数移除池子中的ETH流动性时再次重入进add_liquidity函数添加流动性。

3. 第三步，由于余额更新在重入进add_liquidity函数之前，导致价格计算出现错误。值得注意的是remove_liquidity函数和add_liquidity函数已经使用了防重入锁防止重入。

4.因此这里防重入存在并未生效，通过阅读如下图所示的左边存在漏洞的Vyper代码可以发现当重入锁的名称第二次出现的时候，storage_slot原有数量会加1。换而言之，第一次获取锁的slot为0，但是再次有函数使用锁后slot变为1，重入锁此时已经失效。

https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f

截止发文时，本次攻击事件损失的资金已超5900W美元，Beosin KYT监测到目前c0ffeebabe.eth地址已归还2879个ETH，被盗资金仍在多个攻击者地址上。

关于本次事件造成的影响，7月31日消息，币安创始人赵长鹏CZ发推称，CEX喂价拯救了DeFi。币安用户不受影响。币安团队已检查Vyper可重入漏洞。币安只使用0.3.7或以上版本。保持最新的代码库、应用程序和操作系统非常重要。

7月31日消息，Curve 发推称，由于版本 0.2.15-0.3.0 中的 Vyper 编译器存在问题，CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻击。此外，Arbitrum Tricrypto 池也可能会受影响，审计人员和 Vyper 开发人员暂未找到可攻击漏洞，但请退出使用。

可以看到本次事件造成的影响依然没有结束，这些池子有资金的用户还需要多加注意。

针对本次事件，Beosin安全团队建议：当前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入锁均存在失效的问题，建议相关项目方进行自查。项目上线后，强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息，及时规避安全风险。

Beosin

企业专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

标签：ETHQUIDDITUIDETH2SOCKS币squid币的代理合约creditbitALIENSQUID价格

世界币热门资讯