CertiK:Vyper 5200 万美元损失事件详解
有报告称 Vyper 0.2.15、0.2.16 和 0.3.0 版本存在漏洞,导致 Curve 上的许多池有遭受重入攻击的风险。该漏洞允许攻击者在移除流动性过程中调用添加流动性函数。
目前,总共有6,930万美元受到影响,其中1,670万美元已被白帽黑客追回。这也意味着此次事件造成了5,200万美元被盗,成为了2023年迄今为止金额最高的重入攻击。
事件总结2023年7月30日,专为以太坊虚拟机(EVM)设计的面向合约的编程语言 Vyper 编译器0.2.15、0.2.16 和 0.3.0 版本被宣布存在重入锁失效漏洞。多个 DeFi 项目受到该漏洞的影响,损失总额达 5,200 万美元。
CertiK 已确定有六个地址涉及此次事件。第一个(0x172)未能利用区块 17806056 中的漏洞。最初的漏洞利用者从 Tornado Cash 提取了 0.1 ETH,并继续创建攻击合约。然而,一个跑在前面的钱包(0x6Ec21)支付了更多的gas费用,并率先执行了交易,获得了大约 6,100枚WETH(1,140 万美元)。
由MEV机器人在前置交易失败的漏洞 来源:Etherscan Etherscan
该漏洞导致了进一步的损失:EOA 0xDCe5d 获得了价值约 2,100 万美元的资产。涉案钱包明细如下图:
共有6个项目受到影响,约有6,930万美元被盗走,其中1,670万美元已被归还,总计损失约为5,200万美元。
什么是VyperVyper 是以太坊虚拟机(EVM)的一种面向合约的 pythonic 编程语言。Vyper 的测试版从 2017 年就开始有了,但其首个非测试版本是于2020年7月发布的 0.2.1 版。
Solidity是以太坊生态系统中的主流语言,它比Vyper存在的时间要长得多,因此许多社区成员创建了专门使用 Solidity 运行的工具。根据 DeFiLlama 的数据显示,在DeFi协议中价值约700 亿美元的总锁仓价值(TVL)中,Vyper 智能合约占 21.7 亿美元,而 Solidity 则占绝大多数,高达 674.9 亿美元。
根据语言划分的总锁仓价值 来源:DeFiLlama
截至2023年5月10日,Vyper的主导地位从 2020 年8月的30%高点降至 6.27%。尽管 Vyper的TVL 主导地位明显低于Solidity,但这一事件仍导致6,200万美元受到影响。
不同编程语言在 TVL 中的主导地位 来源:DeFiLlama
编译器版本 - 星际资讯
免责声明:投资有风险,入市须谨慎。本资讯不作为投资建议。