BTC/HKD+4.77%
HK$ 488641
$ 62273.5

ETH/HKD+4.59%
HK$ 18844
$ 2401.48

LTC/HKD+4.2%
HK$ 512.39
$ 65.3

DOT/HKD+6.44%
HK$ 33.33
$ 4.248

ADA/HKD+6.85%
HK$ 2.75
$ 0.351

SOL/HKD+6.42%
HK$ 1066.7
$ 135.938

XRP/HKD+4.16%
HK$ 4.61
$ 0.588

DOGE/US+5%
HK$ 0.82
$ 0.105

比特幣交易所最好的比特幣交易所

幣安

世界排名第一的比特幣交易所

URL：https://www.binance.com

火幣

成立於2013年的比特幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的比特幣交易所

URL：https://www.okx.com

ETH:CertiK：Vyper 5200萬美元損失事件詳解

Author：

Time：1900/1/1 0:00:00

有報告稱 Vyper 0.2.15、0.2.16 和 0.3.0 版本存在漏洞，導致 Curve 上的許多池有遭受重入攻擊的風險。該漏洞允許攻擊者在移除流動性過程中調用添加流動性函數。

目前，總共有6,930萬美元受到影響，其中1,670萬美元已被白帽黑客追回。這也意味著此次事件造成了5,200萬美元被盜，成為了2023年迄今為止金額最高的重入攻擊。

2023年7月30日，專為以太坊虛擬機（EVM）設計的面向合約的編程語言 Vyper 編譯器0.2.15、0.2.16 和 0.3.0 版本被宣布存在重入鎖失效漏洞。多個 DeFi 項目受到該漏洞的影響，損失總額達 5,200 萬美元。

CertiK 已確定有六個地址涉及此次事件。第一個（0x172）未能利用區塊 17806056 中的漏洞。最初的漏洞利用者從 Tornado Cash 提取了 0.1 ETH，并繼續創建攻擊合約。然而，一個跑在前面的錢包（0x6Ec21）支付了更多的gas費用，并率先執行了交易，獲得了大約 6,100枚WETH（1,140 萬美元）。

Fswap遭受黑客攻擊，目前正配合Certik處理黑客問題:據官方消息，Fswap于6月13日22：08分遭受黑客攻擊，目前Fswap正在和Certik積極配合處理黑客問題，目前與黑客方嘗試通過區塊鏈進行加密溝通，但黑客方加密信息出現錯誤，正在嘗試繼續溝通。這次為非被攻擊項目漏洞事件，是惡意借貸攻擊事件，黑客從BISWAP借貸至FSWAP進行交易攻擊，FSWAP通過certik全合約審計，我們正在與certik溝通配合進行處理，更多消息請持續關注Fswap官方推特。[2022/6/14 4:23:58]

由MEV機器人在前置交易失敗的漏洞來源：Etherscan Etherscan

該漏洞導致了進一步的損失：EOA 0xDCe5d 獲得了價值約 2,100 萬美元的資產。涉案錢包明細如下圖：

共有6個項目受到影響，約有6,930萬美元被盜走，其中1,670萬美元已被歸還，總計損失約為5,200萬美元。

Vyper 是以太坊虛擬機（EVM）的一種面向合約的 pythonic 編程語言。Vyper 的測試版從 2017 年就開始有了，但其首個非測試版本是于2020年7月發布的 0.2.1 版。

NBA球員Spencer Dinwiddie公布其加密貨幣4大持倉:NBA布魯克林籃網隊球星斯賓塞·丁威迪（Spencer Dinwiddie）在推特上公布其加密貨幣持倉的前4位，分別是：BTC，Hbar，Flow和Link。[2021/5/26 22:47:01]

Solidity是以太坊生態系統中的主流語言，它比Vyper存在的時間要長得多，因此許多社區成員創建了專門使用 Solidity 運行的工具。根據 DeFiLlama 的數據顯示，在DeFi協議中價值約700 億美元的總鎖倉價值（TVL）中，Vyper 智能合約占 21.7 億美元，而 Solidity 則占絕大多數，高達 674.9 億美元。

根據語言劃分的總鎖倉價值來源：DeFiLlama

截至2023年5月10日，Vyper的主導地位從 2020 年8月的30%高點降至 6.27%。盡管 Vyper的TVL 主導地位明顯低于Solidity，但這一事件仍導致6,200萬美元受到影響。

NFT游戲項目Illuvium通過BalancerLBP籌集到3800萬美元:4月3日消息，NFT游戲項目Illuvium已通過BalancerLBP籌集到3800萬美元，期間交易量達到9000萬美元。此前報道，Illuvium于UTC時間3月30日15時通過BalancerLBP開啟為期72小時的代幣分配活動，共計劃發行100萬個ILV代幣，初始價格為50美元。[2021/4/3 19:43:24]

不同編程語言在 TVL 中的主導地位來源：DeFiLlama

編譯器版本

編譯器版本是指編程語言編譯器的特定版本，編譯器將人類可讀的源代碼轉換為機器可讀的代碼。

編譯器版本會定期更新，以引入功能、修復漏洞并增強安全性。Vyper 語言目前不提供白客漏洞懸賞計劃。

版本 0.2.15 - 0.3.0

上文提到的就是Vyper 的0.2.15、0.2.16 和 0.3.0版本中發現了漏洞，導致了多個DeFi項目遭到重入攻擊。

而最早的Vyper 漏洞版本 0.2.15 發布于2021年7 月23日。到同年12月發布 0.3.1 版時，之前的漏洞已不復存在。

時間線

事件最初開始于北京時間7月30日晚9點10分，攻擊者針對Curve 上 JPEG’d池的交易由于前置運行交易而失敗。

動態 | 百貨公司Pricerite宣布開始接受BTC、ETH、LTC支付:百貨公司PriceRite宣布將在其商店接受加密貨幣BTC、ETH、LTC付款。其中，中國香港地區的MegaBox購物中心將立即啟動。[2019/8/29]

北京時間7月30日晚10點，JPEG‘d 確認 pETH-ETH Curve池已被惡意利用。

Vyper 隨后宣布，0.2.15、0.2.16 和 0.3.0 版本包括了一個失效的重入鎖。Vyper 發布推文后，Metronome 和 Alchemix 也受到了影響。

Metronome DAO 宣布消息：

上市公司Certon推出基于區塊鏈的文件認證平臺:上市公司Certon12月26號宣布 XBC Technologies PTE. Ltd.推廣的基于區塊鏈的文件認證平臺‘‘ASTON’ 從投資組合上成功吸引100億韓元的投資。XBC Technologies PTE. Ltd. 相關人員稱與基于區塊鏈的全球基金和資產運營平臺的HybridBlock達成了戰略性的合作。[2017/12/26]

北京時間第二天凌晨，Curve Finance在 Discord 上發布公告稱，剩余的資金池不受Vyper Bug的影響，是安全的。

Curve Finance 在 Twitter 上宣布，Arbitrum上的一個資金池有可能受到影響，但沒有可供惡意行為者執行的有利可圖的漏洞，這意味著資金池不太可能受到攻擊。CertiK也尚未檢測到任何其他利用Vyper漏洞的攻擊。

以下是以JPEG’d為目標的交易示例：

攻擊者: 0x6ec21d1868743a44318c3c259a6d4953f9978538

攻擊合約: 0x466b85b49ec0c5c1eb402d5ea3c4b88864ea0f04#code

1. 攻擊者首先從 Balancer：Vault中借入80,000 WETH (約合149,371,300美元)

2. 然后，攻擊者將WETH 換成 ETH，調用 pETH-ETH-f.add_liquidity()，將 40,000 ETH（約合74,685,650美元）添加到 pETH-ETH-f 池中。作為回報，攻擊者收到了32,431枚pETH（pETH-ETH-f）。

3. 攻擊者調用 remove_liquidity() 刪除了在步驟2中添加的流動性。3,740 pETH 和 34,316 ETH 被轉入攻擊合約，攻擊合約的 fallbak() 函數被觸發了，將控制權交給了攻擊者。在 fallback() 函數中，攻擊者又向 pETH-ETH-f 池中添加了40,000 ETH的流動性，并收到了 82,182 pETH。

4. 攻擊者再次調用remove_liquidity()，取出10,272pETH，收到47,506 ETH和1,184pETH。然后，攻擊者在pETH-ETH-f 池中用4,924枚 pETH交換了4,285枚ETH。

總的來說，攻擊者從第3步獲得了34,316枚ETH，從第4步獲得了47,506和 4,285枚ETH，共計 86,107枚ETH。在償還了 80,000 ETH閃電貸后，攻擊者還剩下6,107 ETH（約11,395,506美元）。

該漏洞允許攻擊者在移除流動性過程中調用添加流動性函數。雖然這些函數本應受到 @nonreentrant('lock')的保護，但對 add_liquidty() 和 remove_liquidity() 函數的測試證明，它并不能防止重入攻擊。