Vyper发布编译器漏洞事件分析报告，已修复漏洞并推出赏金计划

链观CHAINLOOK消息，以太坊编程语言Vyper发布有关上周漏洞事件的事后分析报告。7月30日，由于Vyper编译器中的潜在漏洞，多个Curve流动性池被攻击，该漏洞本身是一个未正确实施的重入防护，受影响的Vype版本为v0.2.15、v0.2.16、v0.3.0。

该漏洞已在v0.3.1中修复和测试，V0.3.1及更高版本是安全的。然而，当时并没有意识到对有效合约的影响，也没有通知下游协议。

Vyper表示，未来将采取几个步骤来提高使用Vyper编译的智能合约的正确性：

-改进编译器的测试，包括继续提高覆盖率、将编译器输出与语言规范进行比较，以及利用形式验证（FV）工具进行编译器字节码验证。

-为开发人员提供工具，使他们能够更轻松地采用多方面的方法来测试其代码，包括源代码和字节码级别的测试。

-加强使用Vyper协议更严格的双向反馈。

Vyper指出，展望未来，最终希望从最近的事件中吸取教训，确保Vyper成为稳定安全的智能合约语言和编译器项目。为了实现这些目标，采取的一系列安全相关新举措包括：

-与Codehawks合作，对Vyper最新版本进行短期的竞争性审计。

-与Immunefi合作，针对所有版本的Vyper编译器开展短期和长期的漏洞赏金计划。

-Vyper安全联盟，一个协调的多协议赏金计划，用于帮助发现影响Vyper版本保护实时TVL的当前和旧版本编译器漏洞。

-与ChainSecurity、OtterSec、Statemind和Certora等多家审计公司合作，审查Vyper的旧版本，并在未来持续审查编译器。

-扩大团队规模；包括一个专门的安全工程师职位，旨在改进Vyper的安全工具，包括内部和面向用户的安全工具。

-与Solidity提供的现有安全工具包协作，这将极大地有益于Vyper生态系统。

-设计语言规范，这将有助于正式验证并帮助测试编译器本身的工作。

查看原文

免责声明：本文不构成投资建议，用户应考虑本文中的任何意见、观点或结论是否符合其特定状况，及遵守所在国家和地区的相关法律法规。