多個項目因Vyper重入鎖漏洞造成的損失已超5900w美元 你的資金還安全嗎？_ETH

2023年7月30日晚，多個項目迎來至暗時刻。

7 月 30 日 21：35左右，據Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，NFT 借貸協議JPEG'd項目遭遇攻擊。

在Beosin安全團隊正在分析之時，又有幾個項目接連受損。

7 月 30 日 22:51左右，msETH-ETH池子被黑客突襲。

7 月 30 日 23:35左右，alETH-ETH 池子被同樣的攻擊方式破解。

緊接著，DeFi項目Alchemix、Metronome 項目歸屬的流動性池子相繼遭遇攻擊。

同一個攻擊方式，被黑客多次利用，到底是哪里出了問題？

根據7 月 31 日凌晨以太坊編程語言 Vyper 發推表示，Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入鎖有漏洞，加上原生的ETH可以在轉賬時調callback，導致這幾個和ETH組的lp池子可以被重入攻擊。

CZ：正與多個穩定幣發行商探討潛在合作:3月3日消息，Binance 創始人 CZ 在直播活動中表示，正與多個穩定幣發行商探討潛在合作。[2023/3/4 12:41:33]

接著Curve官方推特發文表示，由于重入鎖出現故障，許多使用 Vyper 0.2.15 的穩定幣池 (alETH/msETH/pETH) 遭到攻擊，但其他池子是安全的。

以下為本次黑客攻擊事件涉及的相關交易

●攻擊交易

0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964 0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801

律師觀點：美國稅收新規在實踐中存在多個問題:7月31日消息，美國兩黨此前提出一項基礎設施法案，計劃通過在交易所和其他各方應用新的信息報告要求，通過加密貨幣稅收籌集約280億美元。根據一份法案草案副本，轉讓任何數字資產的經紀人都需要根據修改后的信息報告制度提交申報表。在實踐中，這意味著加密礦工、權益證明網絡的驗證者，甚至可能是那些活躍于去中心化金融市場的人（比如清算人或治理代幣持有人）必須滿足IRS報告要求，并提交1099表格。這些表格包括客戶數據，如姓名、地址和稅務識別號（對于自營職業者，可以是社會保險號）。

DeFi借貸協議Compound的總法律顧問Jake Chervinsky在推特上對此評論稱：“對于礦工等非托管方來說，他們根本不可能獲得填寫1099表格所需的信息。實際上，這可能意味著美國（事實上）禁止挖礦。”加密貨幣和公民自由律師Marta Belcher則表示：“該法案可能使人們無法通過開源代碼（如智能合約和去中心化交易所）直接與他人進行加密貨幣交易的同時保持匿名。”Chervinsky補充說：“采納一項根本無法遵守的法規是不合邏輯的，除非其目標是扼殺整個行業。”了解該法案談判的消息人士表示，Chervinsky對形勢的解讀是正確的。然而，這一條款是否會被納入很可能會通過的最終法案尚不確定。Belcher補充稱：“盡管該法案的措辭正在迅速演變，但其定義足夠廣泛，可能也會納入加密領域的礦工和其他人。”（Decrypt）[2021/8/1 1:27:04]

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

BitMax交易平臺多個幣種24小時漲幅超10%:據BitMax官網顯示，截止今日11:00其平臺上多個幣種24小時漲幅超10%：BTMX（11.4%）、BAT（11.08%）。

BitMax支持BTMX 3倍和BAT 2倍杠桿交易，更多詳情請您登錄BitMax平臺官網查看。[2020/3/25]

0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c

0xcd99fadd7e28a42a063e07d9d86f67c88e10a7afe5921bd28cd1124924ae2052

●攻擊者地址

0xC0ffeEBABE5D496B2DDE509f9fa189C25cF29671

0xdce5d6b41c32f578f875efffc0d422c57a75d7d8

0x6Ec21d1868743a44318c3C259a6d4953F9978538

聲音 | PeckShield安全播報: 敏感權限被控制的EOS賬戶高達3000多個，波及100萬EOS:據早先媒體報道，今日上線的EOS去中心化交易所OneDex存在獲取用戶敏感權限的高危行為。PeckShield安全人員分析發現，EOS公鏈上存在多個合約利用用戶安全意識的薄弱，獲取用戶的敏感（Active）權限，可完全操控用戶賬戶并在用戶不知情情況下轉移全部資產。據PeckShield態勢感知平臺數據顯示：截至目前，EOS公鏈上Active權限受控制賬戶高達3,065個，波及近100萬EOS。[2018/11/9]

0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324

●被攻擊合約

0xc897b98272AA23714464Ea2A0Bd5180f1B8C0025

0xC4C319E2D4d66CcA4464C0c2B32c9Bd23ebe784e

0x9848482da3Ee3076165ce6497eDA906E66bB85C5

動態 | 金融科技創業公司Revolut將在多個國家推出加密貨幣應用程序:7月12日消息，金融科技創業公司Revolut計劃將在美國、加拿大、新加坡、香港、澳大利亞和新西蘭推出加密貨幣應用程序，該應用已支持BTC，ETH，XRP，LTC和BCH。

據Revolut稱，目前公司每天新增6000多名客戶，全球客戶超過200萬。其客戶已完成超過1.25億筆交易，在此過程中節省了7.4億美元的費用。[2018/7/12]

0x8301AE4fc9c624d1D396cbDAa1ed877821D7C511

根據Beosin安全團隊的分析，本次攻擊主要是源于是Vyper 0.2.15的防重入鎖失效，攻擊者在調用相關流動性池子的remove_liquidity函數移除流動性時通過重入add_liquidity函數添加流動性，由于余額更新在重入進add_liquidity函數之前，導致價格計算出現錯誤。

黑客攻擊準備階段，首先通過balancer:Vault閃電貸借出10,000枚ETH作為攻擊資金。

1. 第一步，攻擊者調用add_liquidity函數將閃電貸借入的5000ETH添加進池子中。

2.第二步，隨后攻擊者調用remove_liquidity函數移除池子中的ETH流動性時再次重入進add_liquidity函數添加流動性。

3. 第三步，由于余額更新在重入進add_liquidity函數之前，導致價格計算出現錯誤。值得注意的是remove_liquidity函數和add_liquidity函數已經使用了防重入鎖防止重入。

4.因此這里防重入存在并未生效，通過閱讀如下圖所示的左邊存在漏洞的Vyper代碼可以發現當重入鎖的名稱第二次出現的時候，storage_slot原有數量會加1。換而言之，第一次獲取鎖的slot為0，但是再次有函數使用鎖后slot變為1，重入鎖此時已經失效。

https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f

截止發文時，本次攻擊事件損失的資金已超5900W美元，Beosin KYT監測到目前c0ffeebabe.eth地址已歸還2879個ETH，被盜資金仍在多個攻擊者地址上。

關于本次事件造成的影響，7月31日消息，幣安創始人趙長鵬CZ發推稱，CEX喂價拯救了DeFi。幣安用戶不受影響。幣安團隊已檢查Vyper可重入漏洞。幣安只使用0.3.7或以上版本。保持最新的代碼庫、應用程序和操作系統非常重要。

7月31日消息，Curve 發推稱，由于版本 0.2.15-0.3.0 中的 Vyper 編譯器存在問題，CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻擊。此外，Arbitrum Tricrypto 池也可能會受影響，審計人員和 Vyper 開發人員暫未找到可攻擊漏洞，但請退出使用。

可以看到本次事件造成的影響依然沒有結束，這些池子有資金的用戶還需要多加注意。

針對本次事件，Beosin安全團隊建議：當前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入鎖均存在失效的問題，建議相關項目方進行自查。項目上線后，強烈建議項目方仍然關注第三方組件/依賴庫的漏洞披露信息，及時規避安全風險。

Beosin

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：ETHEOSDITQUIDetha幣的前景EOS INFINITYCreditcoinInternational Squid Games

FTX