Vyper發布編譯器漏洞事件分析報告,已修復漏洞並將推出賞金計劃

Odaily星球日報訊以太坊編程語言Vyper發布有關上週漏洞事件的事後分析報告。 7月30日,由於Vyper編譯器中的潛在漏洞,多個Curve流動性池被攻擊,該漏洞本身是一個未正確實施的重入防護,受影響的Vype版本為v0.2.15、v0.2.16、 v0.3.0。該漏洞已在v0.3.1中修復和測試,V0.3.1及更高版本是安全的。然而,當時並沒有意識到對有效合約的影響,也沒有通知下游協議。 Vyper表示,未來將採取幾個步驟來提高使用Vyper編譯的智能合約的正確性: -改進編譯器的測試,包括繼續提高覆蓋率、將編譯器輸出與語言規范進行比較,以及利用形式驗證(FV )工具進行編譯器字節碼驗證。 -為開發人員提供工具,使他們能夠更輕鬆地採用多方面的方法來測試其代碼,包括源代碼和字節碼級別的測試。 -加強使用Vyper協議更嚴格的雙向反饋。 Vyper指出,展望未來,最終希望從最近的事件中吸取教訓,確保Vyper成為穩定安全的智能合約語言和編譯器項目。為了實現這些目標,將採取的一系列安全相關新舉措包括: -與Codehawks合作,將對Vyper最新版本進行短期的競爭性審計。 -與Immunefi合作,針對所有版本的Vyper編譯器開展短期和長期的漏洞賞金計劃。 -Vyper安全聯盟,這是一個協調的多協議賞金計劃,用於幫助發現影響Vyper版本保護實時TVL的當前和舊版本編譯器漏洞。 -與ChainSecurity、OtterSec、Statemind和Certora等多家審計公司合作,審查Vyper的舊版本,並在未來持續審查編譯器。 -擴大團隊規模;包括一個專門的安全工程師職位,旨在改進Vyper的安全工具,包括內部和麵向用戶的安全工具。 -與Solidity提供的現有安全工具包協作,這將極大地有益於Vyper生態系統。 -設計語言規範,這將有助於正式驗證並幫助測試編譯器本身的工作。

Total
0
Shares
Related Posts