Vyper发布编译器漏洞事件分析报告,已修复漏洞并将推出赏金计划

2023/08/06 18:26

Odaily星球日报讯 以太坊编程语言Vyper发布有关上周漏洞事件的事后分析报告。7月30日,由于Vyper编译器中的潜在漏洞,多个Curve流动性池被攻击,该漏洞本身是一个未正确实施的重入防护,受影响的Vype版本为v0.2.15、v0.2.16、v0.3.0。

该漏洞已在v0.3.1中修复和测试,V0.3.1及更高版本是安全的。然而,当时并没有意识到对有效合约的影响,也没有通知下游协议。

Vyper表示,未来将采取几个步骤来提高使用Vyper编译的智能合约的正确性:

-改进编译器的测试,包括继续提高覆盖率、将编译器输出与语言规范进行比较,以及利用形式验证(FV)工具进行编译器字节码验证。

-为开发人员提供工具,使他们能够更轻松地采用多方面的方法来测试其代码,包括源代码和字节码级别的测试。

-加强使用Vyper协议更严格的双向反馈。

Vyper指出,展望未来,最终希望从最近的事件中吸取教训,确保Vyper成为稳定安全的智能合约语言和编译器项目。为了实现这些目标,将采取的一系列安全相关新举措包括:

-与Codehawks合作,将对Vyper最新版本进行短期的竞争性审计。

-与Immunefi合作,针对所有版本的Vyper编译器开展短期和长期的漏洞赏金计划。

-Vyper安全联盟,这是一个协调的多协议赏金计划,用于帮助发现影响Vyper版本保护实时TVL的当前和旧版本编译器漏洞。

-与ChainSecurity、OtterSec、Statemind和Certora等多家审计公司合作,审查Vyper的旧版本,并在未来持续审查编译器。

-扩大团队规模;包括一个专门的安全工程师职位,旨在改进Vyper的安全工具,包括内部和面向用户的安全工具。

-与Solidity提供的现有安全工具包协作,这将极大地有益于Vyper生态系统。

-设计语言规范,这将有助于正式验证并帮助测试编译器本身的工作。

原文链接
最新快讯
01:05
MERL短时触及0.35 US­DT,日内最高涨幅29.5%
01:01
市场消息:FTX重组计划预计2025年1月初生效,赔偿分配于2025年3月前开始
00:58
SOL突破255 USDT,24H涨幅8.86%
00:50
EIGEN突破2.8 USDT,24H涨幅20.69%
00:47
ETHFI突破2 USDT,24H涨幅30.39%
推荐阅读