Kara delik yutuldu: Vyper güvenlik açığı, Curve'u sağlam bir şekilde tersine çevirdi

Son zamanlarda, süper kararlı bir para birimi protokolü olan Curve, bir yeniden giriş saldırısı tarafından saldırıya uğradı ve ciddi kayıplara neden oldu. Aşağıda, MetaTrust Labs'ın bu saldırı için güvenlik analizi ve güvenlik önerileri yer almaktadır.

Etkinlik İncelemesi

Curve Finance'in resmi Twitter hesabına göre, 31 Temmuz 2023'te Vyper sürüm 0.2.15 kullanılarak yazılan bazı kararlı havuzlar (alETH/msETH/pETH) yeniden giriş saldırısına maruz kaldı. Curve Finance, saldırının Vyper 0.2.15 sürümündeki arızalı yeniden giriş kilitlerinden kaynaklandığını ve yalnızca saf ETH kullanan havuzları etkilediğini belirtti. Şu anda Curve hasarı değerlendiriyor ve diğer havuzlar güvenli.

MetaTrust Labs'ın analizine göre güvenlik açığı, esas olarak Vyper'ın 0.2.15/0.2.16/0.3.0 sürümü derleyicisi nedeniyle Ağustos ve Ekim 2021 arasında ortaya çıktı. Zafiyetin sebebi derleyicideki bir bug nedeniyle oluşturulan bytecode'daki reentrancy mantığının devreye girmemesidir.

Zincirle ilgili istatistiklere göre, Curve Finance stablecoin havuzu hack olayı, Alchemix, JPEG'd, CRV/ETH havuzları vb. üzerinde toplam 52 milyon ABD doları kayba neden oldu. Curve Finance'in token CRV'si de günde %15'ten fazla düşüşle sert darbe aldı.

Sebep analizi

Curve Finance'in bu kez saldırıya uğramasının nedeni, Curve'ün akıllı sözleşmeler yazmak için Vyper dilini kullandığında Vyper sürüm 0.2.15'i kullanmasıdır. kayıplara neden olacak bir yeniden giriş saldırısı. Curve Finance'in bu seferki güvenlik açığı, Dile Özgü bir güvenlik açığıdır.

Dile Özgü güvenlik açıkları, belirli bir programlama dili veya derleyicinin kendisindeki kusurlar veya uyumsuzluklardan kaynaklanan güvenlik açıklarını ifade eder. Bu tür güvenlik açıklarının bulunması ve önlenmesi genellikle zordur, çünkü bunlar geliştirici ihmalinden veya mantık hatalarından değil, temel teknoloji platformundaki sorunlardan kaynaklanır. Bu tür güvenlik açıkları, hepsi aynı dili veya derleyiciyi kullandığından, birden çok projeyi veya sözleşmeyi de etkileme eğilimindedir.

Vyper, daha fazla güvenlik ve okunabilirlik için tasarlanmış, Python tabanlı bir akıllı sözleşme programlama dilidir. Vyper, "önce güvenlik" dili olduğunu iddia eder ve sınıflar, kalıtım, değiştiriciler, satır içi derleme vb. gibi güvenlik risklerine neden olabilecek bazı özellikleri desteklemez. Bununla birlikte, Vyper mükemmel değildir ve hala sözleşmenin güvenliğini etkileyebilecek bazı hatalara veya boşluklara sahiptir. Örneğin, Curve Finance'in bu kez karşılaştığı reentrant kilit hatasına ek olarak, Vyper ayrıca dizi sınırların dışında, tamsayı taşması ve depolama erişim hataları gibi sorunlar yaşadı.

Güvenlik önlemleri

Curve Finance'in bu kez yeniden giriş saldırısı için bazı karşı önlemler alınmış veya önerilmiştir. İşte alabileceğiniz bazı güvenlik önlemleri:

• Likidite çekme: Etkilenen havuzlar için, kullanıcılar daha fazla kayıptan kaçınmak için likiditeyi çekmeyi seçebilirler. Curve Finance, resmi web sitesinde likidite çekmek için kullanıcıların çalışmasına uygun bir düğme sağladı.
• Derleyiciyi yükseltin: Vyper 0.2.15/0.2.16/0.3.0 sürüm derleyicisini kullanan sözleşmeler için, yeniden giriş kilidi hatası sorununu çözen en son Vyper 0.3.1 sürümüne yükseltmeniz önerilir. Aynı zamanda, sözleşmenin güvenliğini doğrulamak için resmi doğrulama, kod denetimi vb. gibi başka araç veya yöntemlerin kullanılması da önerilir.
• Dikkatli olun: Vyper veya diğer dillerde yazılan sözleşmeler için dikkatli olmanız, dil veya derleyici güncellemelerine ve hata düzeltmelerine dikkat etmeniz ve varlıklarınızı korumak için gerekli önlemleri zamanında almanız önerilir. Aynı zamanda, yeni bir dil veya yeni bir teknoloji kullanırken olgunluğunu ve istikrarını dikkatlice değerlendirmeniz ve körü körüne tazelik veya verimlilik peşinde koşmaktan kaçınmanız da önerilir.

Özetle

Curve Finance yeniden giriş olayı, talihsiz bir güvenlik olayı ve düşündürücü bir dersti. Merkezi olmayan finans (DeFi) alanında, güvenlik her zaman birinci önceliktir. Proje tarafları, güvenlik farkındalıklarını ve yeteneklerini sürekli olarak geliştirmelidir. Herhangi bir ayrıntı, saldırganların yararlanabileceği bir atılım haline gelebilir.

Bizi takip edin

Twitter: @MetaTrustLabs

Web sitesi: metatrust.io