ETH:多个项目因Vyper重入锁漏洞造成的损失已超5900w美元 你的资金还安全吗?

2023年7月30日晚,多个项目迎来至暗时刻。

7 月 30 日 21:35左右,据Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,NFT 借贷协议JPEG'd项目遭遇攻击。

在Beosin安全团队正在分析之时,又有几个项目接连受损。

7 月 30 日 22:51左右,msETH-ETH池子被黑客突袭。

7 月 30 日 23:35左右,alETH-ETH 池子被同样的攻击方式破解。

紧接着,DeFi项目Alchemix、Metronome 项目归属的流动性池子相继遭遇攻击。

同一个攻击方式,被黑客多次利用,到底是哪里出了问题?

根据7 月 31 日凌晨以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁有漏洞,加上原生的ETH可以在转账时调callback,导致这几个和ETH组的lp池子可以被重入攻击。

过去两周多个加密鲸鱼大量购买SHIB,最大一笔交易超过6.1万亿枚:PAC协议首席执行官David Gokhshtein发推称,有加密鲸鱼在大量购买SHIB。推特用户/img/202386163909/1.jpg">

接着Curve官方推特发文表示,由于重入锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,但其他池子是安全的。

人民网:多个微信打榜小程序允许粉丝通过购买虚拟货币投票助力:8月25日消息,人民网今日刊文《明星榜单调查:多平台未成年人打榜提示形同虚设》,文章称,在微信输入“榜”“榜单”等关键词,记者搜索到十余个有打投功能的公众号、小程序,无需另外进行实名认证,只需在微信内部即可登录打投。在寻艺、煮娱、口袋48等App和多个微信打榜小程序,粉丝可通过购买会员或虚拟货币获取额外的投票、助力机会,截至8月24日相关明星榜单仍在线。6月15日,中央网信办发文,宣布在全国开展为期2个月的“清朗·‘饭圈’乱象整治”专项行动,重点打击诱导未成年人应援集资、投票打榜等5类乱象行为。[2021/8/25 22:37:03]

以下为本次黑客攻击事件涉及的相关交易

●攻击交易

0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964 0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801

独家 | 业内人士:路边矿池可能由多个大矿工共同组建:金色财经报道,针对路边矿池挺近算力排名前十而此前排名前十矿池算力均出现不同程度下滑现象,蜘蛛矿池对金色财经分析表示:“减半后每个矿池算力都有所减少,但昨天的全网算力却没有下降太多。btc.com数据显示路边矿池上周才开始爆块。所以把分散的算力集中回路边,导致其他矿池算力下降,但全网算力波动很小。”

针对路边矿池的来源,F2Pool鱼池的全球业务总监Thomas Heller?在推特进一步指出,这似乎是位于中国的矿池。Anicca Research推特回应Thomas Heller称,估计是几个大矿工联手拿了年初的大机器订单,先做私池,顺手就开放了。

Dovey指出:路边矿池空降,比特币矿池算力前十,自带6E算力。然后区块签名是“Buffett” 巴菲特,这真的是黑的太有水平了。全网算力没有大涨,大概率是几个手上算力很多的矿工自己联合起来做的公池?

OKLink相关人士表示,私池的形式可能比较大,这么大算力有可能是矿机商自己的算力,路边矿池实际是因为有人发现了较多的报快没有播报方,追踪coinbase后发现的,然后在GitHub上提了issue给BTC.com。lubian之前在coinbase上打的标签是buffet,在区块高度 629,755 之后改名为?Lubian.com。[2020/5/13]

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

行情 | BitMax交易平台多个币种24小时涨幅超10%:据BitMax官网显示,截止今日18:00其平台上多个币种24小时涨幅超10%:RUNE(28.89%)、MATIC(19.08%)、IOST(13.12%)、ONE(12.34%)、LTO(12.29%)。

其中BitMax支持ONE 5倍杠杆、MATIC 3倍杠杆和IOST 2倍杠杆交易。更多详情请您登录BitMax平台官网BTMX.COM查看。[2019/12/20]

0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

0xcd99fadd7e28a42a063e07d9d86f67c88e10a7afe5921bd28cd1124924ae2052

●攻击者地址

0xC0ffeEBABE5D496B2DDE509f9fa189C25cF29671

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8

动态 | 男子发明设备可以同时卖出多个加密货币:据cryptoglobe消息,北塞浦路斯近东大学的网络管理员Ilker Dagli创建了一个有大红色按钮的设备,用于在交易所上卖出加密货币。Dagli在YouTube视频演示了用法,设置好山寨币的头寸后,他猛击红色按钮,所有山寨币都立即被清算。Dagli表示,该设备可用于币安、Bitfinex和Bittrex等交易所。[2018/10/21]

0x6Ec21d1868743a44318c3C259a6d4953F9978538

0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324

●被攻击合约

0xc897b98272AA23714464Ea2A0Bd5180f1B8C0025

0xC4C319E2D4d66CcA4464C0c2B32c9Bd23ebe784e

0x9848482da3Ee3076165ce6497eDA906E66bB85C5

0x8301AE4fc9c624d1D396cbDAa1ed877821D7C511

根据Beosin安全团队的分析,本次攻击主要是源于是Vyper 0.2.15的防重入锁失效,攻击者在调用相关流动性池子的remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。

黑客攻击准备阶段,首先通过balancer:Vault闪电贷借出10,000枚ETH作为攻击资金。

1. 第一步,攻击者调用add_liquidity函数将闪电贷借入的5000ETH添加进池子中。

2.第二步,随后攻击者调用remove_liquidity函数移除池子中的ETH流动性时再次重入进add_liquidity函数添加流动性。

3. 第三步,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。值得注意的是remove_liquidity函数和add_liquidity函数已经使用了防重入锁防止重入。

4.因此这里防重入存在并未生效,通过阅读如下图所示的左边存在漏洞的Vyper代码可以发现当重入锁的名称第二次出现的时候,storage_slot原有数量会加1。换而言之,第一次获取锁的slot为0,但是再次有函数使用锁后slot变为1,重入锁此时已经失效。

https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f

截止发文时,本次攻击事件损失的资金已超5900W美元,Beosin KYT监测到目前c0ffeebabe.eth地址已归还2879个ETH,被盗资金仍在多个攻击者地址上。

关于本次事件造成的影响,7月31日消息,币安创始人赵长鹏CZ发推称,CEX喂价拯救了DeFi。币安用户不受影响。币安团队已检查Vyper可重入漏洞。币安只使用0.3.7或以上版本。保持最新的代码库、应用程序和操作系统非常重要。

7月31日消息,Curve 发推称,由于版本 0.2.15-0.3.0 中的 Vyper 编译器存在问题,CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻击。此外,Arbitrum Tricrypto 池也可能会受影响,审计人员和 Vyper 开发人员暂未找到可攻击漏洞,但请退出使用。

可以看到本次事件造成的影响依然没有结束,这些池子有资金的用户还需要多加注意。

针对本次事件,Beosin安全团队建议:当前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入锁均存在失效的问题,建议相关项目方进行自查。项目上线后,强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息,及时规避安全风险。

Beosin

企业专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:31ms0-1:73ms