以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > KuCoin > Info

多個項目因Vyper重入鎖漏洞造成的損失已超5900w美元 你的資金還安全嗎?_UID:ethereal美好寓意

Author:

Time:1900/1/1 0:00:00

2023年7月30日晚,多個項目迎來至暗時刻。

7 月 30 日 21:35左右,據Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,NFT 借貸協議JPEG'd項目遭遇攻擊。

在Beosin安全團隊正在分析之時,又有幾個項目接連受損。

7 月 30 日 22:51左右,msETH-ETH池子被黑客突襲。

7 月 30 日 23:35左右,alETH-ETH 池子被同樣的攻擊方式破解。

緊接著,DeFi項目Alchemix、Metronome 項目歸屬的流動性池子相繼遭遇攻擊。

同一個攻擊方式,被黑客多次利用,到底是哪里出了問題?

根據7 月 31 日凌晨以太坊編程語言 Vyper 發推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入鎖有漏洞,加上原生的ETH可以在轉賬時調callback,導致這幾個和ETH組的lp池子可以被重入攻擊。

nd4.eth將BAYC等多個NFT銷毀:8月9日消息,鏈上信息顯示,繼將2500枚ETH轉入黑洞地址銷毀后,nd4.eth今日再次將其BAYC、MAYC、BAKC系列NFT轉入黑洞地址銷毀。[2023/8/9 21:34:59]

接著Curve官方推特發文表示,由于重入鎖出現故障,許多使用 Vyper 0.2.15 的穩定幣池 (alETH/msETH/pETH) 遭到攻擊,但其他池子是安全的。

以下為本次黑客攻擊事件涉及的相關交易

●攻擊交易

0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964 0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801

BIS與多個央行開展跨境零售CBDC實驗“Project Icebreaker”:金色財經報道,由國際清算銀行(BIS)與以色列、挪威和瑞典央行聯合發起的“Project Icebreaker”成功完成了一項關于在國際支付中使用零售央行數字貨幣(CBDC)潛在利弊的研究。

該項目測試了在不同實驗性零售CBDC系統之間以中心輻射式模型進行跨境和跨貨幣交易的技術可行性。在測試中,一筆跨境交易被分解為兩筆國內支付,由活躍在兩個國內系統中的外匯提供商進行。該項目還表明,此模型可以通過使用央行貨幣協調支付來降低結算和對手方風險,在數秒內完成跨境交易。(Finextra)[2023/3/6 12:45:26]

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

0xcd99fadd7e28a42a063e07d9d86f67c88e10a7afe5921bd28cd1124924ae2052

SushiSwap NFT平臺Shoyu上線NFT市場,已有多個創作者開啟NFT拍賣:11月18日消息,SushiSwap NFT平臺Shoyu正式上線NFT市場,已有多個創作者開啟NFT拍賣,包含ThomMayne、ShavonneWong、NicolasSassoon、JesseDraxler、ThomMayne、LunaIkuta等參與,此外該平臺上NFT鑄造模式當前僅面向白名單用戶。

此前報道,SushiSwap社區成員LevX于7月初發起了建立NFT平臺Shoyu的提案,該提案于8月中旬與多鏈擴展基金等其他4個提案一起投票通過。[2021/11/18 22:02:06]

●攻擊者地址

0xC0ffeEBABE5D496B2DDE509f9fa189C25cF29671

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8

0x6Ec21d1868743a44318c3C259a6d4953F9978538

0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324

1050枚BTC從多個未知地址轉入Bithumb交易所:據歐科云鏈OKLink數據顯示,北京時間6月12日14:11,1050枚BTC從從多個未知地址轉入Bithumb交易所。交易哈希為:2513bf546c3a1e01685a15c100430e94ffc11f7ccc88b175fb97998fd3a37ea2。[2020/6/12]

●被攻擊合約

0xc897b98272AA23714464Ea2A0Bd5180f1B8C0025

0xC4C319E2D4d66CcA4464C0c2B32c9Bd23ebe784e

0x9848482da3Ee3076165ce6497eDA906E66bB85C5

0x8301AE4fc9c624d1D396cbDAa1ed877821D7C511

根據Beosin安全團隊的分析,本次攻擊主要是源于是Vyper 0.2.15的防重入鎖失效,攻擊者在調用相關流動性池子的remove_liquidity函數移除流動性時通過重入add_liquidity函數添加流動性,由于余額更新在重入進add_liquidity函數之前,導致價格計算出現錯誤。

動態 | Amberdata發布API V2版本 改進對多個區塊鏈的支持:免費加密安全工具Amberdata已經宣布發布API V2版本,新版本改進了對多個區塊鏈的支持。核心更新包括:UTXO數據模型,驗證證明數據,數字資產元數據和參考。(CryptoNinjas)[2020/1/15]

黑客攻擊準備階段,首先通過balancer:Vault閃電貸借出10,000枚ETH作為攻擊資金。

1. 第一步,攻擊者調用add_liquidity函數將閃電貸借入的5000ETH添加進池子中。

2.第二步,隨后攻擊者調用remove_liquidity函數移除池子中的ETH流動性時再次重入進add_liquidity函數添加流動性。

3. 第三步,由于余額更新在重入進add_liquidity函數之前,導致價格計算出現錯誤。值得注意的是remove_liquidity函數和add_liquidity函數已經使用了防重入鎖防止重入。

4.因此這里防重入存在并未生效,通過閱讀如下圖所示的左邊存在漏洞的Vyper代碼可以發現當重入鎖的名稱第二次出現的時候,storage_slot原有數量會加1。換而言之,第一次獲取鎖的slot為0,但是再次有函數使用鎖后slot變為1,重入鎖此時已經失效。

https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f

截止發文時,本次攻擊事件損失的資金已超5900W美元,Beosin KYT監測到目前c0ffeebabe.eth地址已歸還2879個ETH,被盜資金仍在多個攻擊者地址上。

關于本次事件造成的影響,7月31日消息,幣安創始人趙長鵬CZ發推稱,CEX喂價拯救了DeFi。幣安用戶不受影響。幣安團隊已檢查Vyper可重入漏洞。幣安只使用0.3.7或以上版本。保持最新的代碼庫、應用程序和操作系統非常重要。

7月31日消息,Curve 發推稱,由于版本 0.2.15-0.3.0 中的 Vyper 編譯器存在問題,CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻擊。此外,Arbitrum Tricrypto 池也可能會受影響,審計人員和 Vyper 開發人員暫未找到可攻擊漏洞,但請退出使用。

可以看到本次事件造成的影響依然沒有結束,這些池子有資金的用戶還需要多加注意。

針對本次事件,Beosin安全團隊建議:當前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入鎖均存在失效的問題,建議相關項目方進行自查。項目上線后,強烈建議項目方仍然關注第三方組件/依賴庫的漏洞披露信息,及時規避安全風險。

Beosin

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags:ETHNFTDITUIDethereal美好寓意Feisty Doge NFTDeCreditUIDF

KuCoin
Base鏈上暴漲MEME幣BALD的可疑內幕和部署_BAS:COIN

作者:Axel Bitblaze,加密投資人;翻譯:金色財經xiaozou本文我們來一起深入了解一下時下火熱的新興meme幣BALD,其在Coinbase Base鏈上勢頭正猛.

1900/1/1 0:00:00
Twitter Space 回顧:Curve 的至暗時刻?_EFI:Curve

作者:DODO Research8 月 1 日的 Twitter Space 上 DODO research 邀請到了 DeFi Cheetah,陳默.

1900/1/1 0:00:00
SEC新規:上市加密公司應公布重大網絡安全事件_COIN:kucoin官網下載ios

作者:BRAYDEN LINDREA,COINTELEGRAPH;編譯:松雪,金色財經根據美國證券監管機構采用的新規則.

1900/1/1 0:00:00
Worldcoin:加密貨幣的反烏托邦式噩夢_ORK:abelnetwork

作者:Santiago ,medium 編譯:善歐巴,金色財經原文標題:Worldcoin Is Everything That’s Wrong With Cryptocurrency.

1900/1/1 0:00:00
zkSync和Polygon的是非 正上升到“開源精神”之爭_BSP:BSPT價格

今日,一場圍繞著抄襲的口水仗在兩家“L2 大廠”間展開,也吸引了廣大吃瓜群眾的目光。Polygon Zero 在推特上表示,zkSync 的開發公司 Ma.

1900/1/1 0:00:00
金色早報 | 香港自定為開發虛擬資產及科技互補全球領導者_COI:加密貨幣

▌美眾議院金融服務委員會通過美國穩定幣監管法案金色財經報道,美國眾議院金融服務委員會以34票對16票的表決結果通過了美國穩定幣監管法案《支付穩定幣透明度法案》.

1900/1/1 0:00:00
ads