黑洞吞噬：Vyper漏洞讓Curve結結實實翻了一車

2023-08-02 00:08:46

近日，超級穩定幣協議 Curve 受到重入攻擊，造成嚴重損失。以下是 MetaTrust Labs 對本次攻擊事件的安全分析及安全建議。

事件回顧

根據 Curve Finance 的官方推特，在 2023 年 7 月 31 日，一些使用 Vyper 0.2.15 版本編寫的穩定池（alETH/msETH/pETH）受到了重入攻擊。Curve Finance 表示，該攻擊是由於 Vyper 0.2.15 版本存在重入鎖故障（malfunctioning reentrancy locks）導致的，而且只影響了使用純 ETH 的池子。目前，Curve 正在評估損失情況，其他池子是安全的。

據 MetaTrust Labs 的分析，該漏洞是在 2021 年 8 月至 10 月期間引入的，主要由於 Vyper 的 0.2.15/0.2.16/0.3.0 版本編譯器引起的。漏洞原因是由於編譯器 bug 導致生成的字節碼中本該重入保護的方法，重入邏輯不生效導致。

根據鏈上數據統計，Curve Finance 穩定幣池黑客攻擊事件已造成 Alchemix 、JPEG’d、 CRV /ETH 池等累計損失 5200 萬美元。Curve Finance 的代幣 CRV 也遭受重創，日內下跌超過 15% 。

原因分析

Curve Finance 這次被攻擊的原因是，Curve 在使用了 Vyper 這個語言寫智能合約時，使用了 Vyper 0.2.15 版本，該版本上有一個漏洞是 malfunctioning reentrancy locks（重入鎖故障），被攻擊者利用發起了重入攻擊造成損失。Curve Finance 這次的漏洞是一個 Language Specific 的漏洞。

Language Specific 的漏洞指的是由於某種編程語言或者編譯器本身存在缺陷或者不兼容性導致的漏洞。這類漏洞往往難以發現和預防，因為它們不是由於开發者的疏忽或者邏輯錯誤造成的，而是由於底層技術平臺的問題造成的。這類漏洞也往往會影響到多個項目或者合約，因為它們都使用了同樣的語言或者編譯器。

Vyper 是一種基於 Python 的智能合約編程語言，旨在提供更高的安全性和可讀性。Vyper 聲稱自己是一種「安全優先」的語言，不支持一些可能導致安全隱患的特性，如類、繼承、修改器、內聯匯編等。然而，Vyper 也並非完美，它仍然存在一些 bug 或者漏洞，可能會影響到合約的安全性。例如，除了本次 Curve Finance 遭遇的重入鎖故障之外，Vyper 還曾經出現過數組越界、整數溢出、存儲訪問錯誤等問題。

安全措施

對於 Curve Finance 這次的重入攻擊事件，目前已經有一些應對措施被採取或者提出。以下是一些可採取的安全應對措施：

移出流動性：對於受影響的池子，用戶可以選擇移出流動性，以避免進一步的損失。Curve Finance 已經在其官網上提供了一個移出流動性的按鈕，方便用戶操作。
升級編譯器：對於使用了 Vyper 0.2.15/0.2.16/0.3.0 版本編譯器的合約，建議升級到最新的 Vyper 0.3.1 版本，該版本已經修復了重入鎖故障的問題。同時，也建議使用其他工具或者方法來驗證合約的安全性，如形式化驗證、代碼審計等。
提高警惕：對於使用了 Vyper 或者其他語言編寫的合約，建議提高警惕，關注語言或者編譯器的更新和漏洞修復情況，及時採取必要的措施來保護自己的資產。同時，也建議在使用新語言或者新技術時，謹慎評估其成熟度和穩定性，避免盲目追求新鮮或者高效。