Vyper貢獻者：有理由懷疑由國家支持的黑客參與Curve攻擊事件

7月31日消息，智能合約語言Vyper貢獻者@fubuloubu針對Curve黑客攻擊事件表示，找到該漏洞需要幾周到幾個月的時間，也許是由一個小團體或團隊進行的。我們可能很快就會找到更多信息，但考慮到投入的資源，我認為有理由懷疑國家支持的黑客可能參與其中。

目前只有兩個編譯器最佳，Vyper的代碼庫更小，更容易閱讀，對其歷史進行分析的更改也更少，這可能就是黑客從這里下手的原因，Solidity的代碼庫要更大一些。

其次，編譯器并沒有像大家想象的那樣受到審查或審計。大多數編譯器都會進行重大且頻繁的更改，這不利于審計。所有這些都指向最后一個問題：激勵問題，即，沒有人有動力去尋找編譯器中的關鍵漏洞，尤其是舊版本。

但這并不是Vyper或Curve的終結，我們必須團結起來解決這些類型的公共產品問題，就我個人而言，此前提出過一個提案，該提案將通過添加由用戶共同贊助的賞金計劃來幫助改進Vyper。

Vyper編譯器發布漏洞事件分析報告，漏洞已于v0.3.1修復并測試:8月6日消息，以太坊編程語言Vyper發布有關上周漏洞事件的事后分析報告：7月30日由于Vyper編譯器中的潛在漏洞，多個Curve流動性池被利用，該漏洞本身是一個未正確實施的重入防護，受影響的Vype版本為v0.2.15、v0.2.16、v0.3.0。

Vyper稱該漏洞已于v0.3.1修復并測試，v0.3.1及更高版本是安全的。然而，當時并沒有意識到對實時合約的影響，也沒有通知下游協議。未來將加強使用Vyper協議更嚴格的雙向反饋并推出相關錯誤賞金計劃和競賽。[2023/8/6 21:28:18]

CZ：幣安團隊已檢查Vyper可重入漏洞，用戶不受影響:7月31日消息，CZ發推稱，CEX喂價拯救了DeFi。幣安用戶不受影響。幣安團隊已檢查Vyper可重入漏洞。幣安只使用0.3.7或以上版本。保持最新的代碼庫、應用程序和操作系統非常重要。

據此前報道，因Vyper部分版本（0.2.15、0.2.16和0.3.0）存在功能失效的遞歸鎖漏洞，Curve上alETH/ETH、msETH/ETH、pETH/ETH和CRV/ETH池遭遇攻擊。[2023/7/31 16:09:06]

Vyper貢獻者：有理由懷疑由國家支持的黑客參與Curve攻擊事件:7月31日消息，智能合約語言Vyper貢獻者@fubuloubu針對Curve黑客攻擊事件表示，找到該漏洞需要幾周到幾個月的時間，也許是由一個小團體或團隊進行的。我們可能很快就會找到更多信息，但考慮到投入的資源，我認為有理由懷疑國家支持的黑客可能參與其中。

目前只有兩個編譯器最佳，Vyper的代碼庫更小，更容易閱讀，對其歷史進行分析的更改也更少，這可能就是黑客從這里下手的原因，Solidity的代碼庫要更大一些。

其次，編譯器并沒有像大家想象的那樣受到審查或審計。大多數編譯器都會進行重大且頻繁的更改，這不利于審計。所有這些都指向最后一個問題：激勵問題，即，沒有人有動力去尋找編譯器中的關鍵漏洞，尤其是舊版本。

但這并不是Vyper或Curve的終結，我們必須團結起來解決這些類型的公共產品問題，就我個人而言，此前提出過一個提案，該提案將通過添加由用戶共同贊助的賞金計劃來幫助改進Vyper。[2023/7/31 16:09:00]