Vyper发布编译器漏洞事件分析报告,已修复漏洞并将推出赏金计划

2023/08/06 18:26

Odaily星球日报讯 以太坊编程语言Vyper发布有关上周漏洞事件的事后分析报告。7月30日,由于Vyper编译器中的潜在漏洞,多个Curve流动性池被攻击,该漏洞本身是一个未正确实施的重入防护,受影响的Vype版本为v0.2.15、v0.2.16、v0.3.0。

该漏洞已在v0.3.1中修复和测试,V0.3.1及更高版本是安全的。然而,当时并没有意识到对有效合约的影响,也没有通知下游协议。

Vyper表示,未来将采取几个步骤来提高使用Vyper编译的智能合约的正确性:

-改进编译器的测试,包括继续提高覆盖率、将编译器输出与语言规范进行比较,以及利用形式验证(FV)工具进行编译器字节码验证。

-为开发人员提供工具,使他们能够更轻松地采用多方面的方法来测试其代码,包括源代码和字节码级别的测试。

-加强使用Vyper协议更严格的双向反馈。

Vyper指出,展望未来,最终希望从最近的事件中吸取教训,确保Vyper成为稳定安全的智能合约语言和编译器项目。为了实现这些目标,将采取的一系列安全相关新举措包括:

-与Codehawks合作,将对Vyper最新版本进行短期的竞争性审计。

-与Immunefi合作,针对所有版本的Vyper编译器开展短期和长期的漏洞赏金计划。

-Vyper安全联盟,这是一个协调的多协议赏金计划,用于帮助发现影响Vyper版本保护实时TVL的当前和旧版本编译器漏洞。

-与ChainSecurity、OtterSec、Statemind和Certora等多家审计公司合作,审查Vyper的旧版本,并在未来持续审查编译器。

-扩大团队规模;包括一个专门的安全工程师职位,旨在改进Vyper的安全工具,包括内部和面向用户的安全工具。

-与Solidity提供的现有安全工具包协作,这将极大地有益于Vyper生态系统。

-设计语言规范,这将有助于正式验证并帮助测试编译器本身的工作。

原文链接
最新快讯
00:42
1885枚ETH从Coinbase Prime流入灰度以太坊迷你信托基金
00:39
逾174枚BTC流入Bitwise比特币ETF,价值1328万美元
00:34
Nonco标记地址向Bitwise以太坊ETF转入2296枚ETH
00:32
某鲸鱼近期从Coinbase提取263万枚MATIC,价值90.8万美元
00:21
美国众议员Mike Collins披露已买入价值8万美元的ETH
推荐阅读