Vyper发布编译器漏洞事件分析报告,已修复漏洞并推出赏金计划
链观CHAINLOOK消息,以太坊编程语言Vyper发布有关上周漏洞事件的事后分析报告。7月30日,由于Vyper编译器中的潜在漏洞,多个Curve流动性池被攻击,该漏洞本身是一个未正确实施的重入防护,受影响的Vype版本为v0.2.15、v0.2.16、v0.3.0。
该漏洞已在v0.3.1中修复和测试,V0.3.1及更高版本是安全的。然而,当时并没有意识到对有效合约的影响,也没有通知下游协议。
Vyper表示,未来将采取几个步骤来提高使用Vyper编译的智能合约的正确性:
-改进编译器的测试,包括继续提高覆盖率、将编译器输出与语言规范进行比较,以及利用形式验证(FV)工具进行编译器字节码验证。
-为开发人员提供工具,使他们能够更轻松地采用多方面的方法来测试其代码,包括源代码和字节码级别的测试。
-加强使用Vyper协议更严格的双向反馈。
Vyper指出,展望未来,最终希望从最近的事件中吸取教训,确保Vyper成为稳定安全的智能合约语言和编译器项目。为了实现这些目标,采取的一系列安全相关新举措包括:
-与Codehawks合作,对Vyper最新版本进行短期的竞争性审计。
-与Immunefi合作,针对所有版本的Vyper编译器开展短期和长期的漏洞赏金计划。
-Vyper安全联盟,一个协调的多协议赏金计划,用于帮助发现影响Vyper版本保护实时TVL的当前和旧版本编译器漏洞。
-与ChainSecurity、OtterSec、Statemind和Certora等多家审计公司合作,审查Vyper的旧版本,并在未来持续审查编译器。
-扩大团队规模;包括一个专门的安全工程师职位,旨在改进Vyper的安全工具,包括内部和面向用户的安全工具。
-与Solidity提供的现有安全工具包协作,这将极大地有益于Vyper生态系统。
-设计语言规范,这将有助于正式验证并帮助测试编译器本身的工作。