ChainCatcher のメッセージ、Web3 セキュリティ会社 Certora は、スマートコントラクト言語 Vyper チームと協力し、すべてのユーザーに Prover ツールを開放し、Vyper コードのセキュリティを強化する手助けをすると発表しました。Vyper コミュニティのキー保有者として、ユーザーは 2023 年 12 月 31 日まで Certora Prover を使用して Vyper コードを検証することができます。

ChainCatcher のメッセージ、イーサリアムプログラミング言語 Vyper が先週の脆弱性事件に関する事後分析レポートを発表しました。レポートによると、7 月 30 日に Vyper コンパイラの潜在的な脆弱性により、複数の Curve 流動性プールが悪用されました。この脆弱性は、正しく実装されていない再入防止策であり、影響を受けた Vyper のバージョンには v0.2.15、v0.2.16 および v0.3.0 が含まれます。Vyper は、この脆弱性が v0.3.1 バージョンで修正され、テストされたと述べており、v0.3.1 以降のバージョンは安全であるとしています。しかし、その時点では、脆弱なバージョンのコンパイラを使用しているプロトコルに影響を与えることに気づいておらず、下流のプロトコルに対しても迅速に通知されていませんでした。

ChainCatcher のメッセージ、DeFi 貸付プロトコル Sentiment の公式発表によると、Curve とスマートコントラクト言語 Vyper チームが最近公開した脆弱性を考慮し、Sentiment プロトコルを予防措置として一時停止しました。Sentiment ユーザーの資金は対応するリスクにさらされておらず、さらなる操作を実行する必要はありません。

ChainCatcher のメッセージで、スマートコントラクト言語 Vyper の貢献者 @fubuloubu は、Curve のハッキング事件について次のように述べています。「この脆弱性を見つけるには数週間から数ヶ月かかる可能性があり、おそらく小さなグループまたはチームによって行われたものです。私たちはすぐにもっと多くの情報を見つけるかもしれませんが、投入されたリソースを考慮すると、国家支援のハッカーが関与している可能性があると疑う理由があります。」@fubuloubu は、「現在、最も優れたコンパイラは2つだけで、Vyper のコードベースは小さく、読みやすく、歴史を分析するための変更も少ないため、ハッカーがここから攻撃を仕掛けた理由かもしれません。Solidity のコードベースはもう少し大きいです。次に、コンパイラは皆が想像するほど監査やレビューを受けていません。ほとんどのコンパイラは重大かつ頻繁な変更を行っており、これは監査にとって不利です。」これらすべては、最後の問題、つまりインセンティブの問題に繋がります。すなわち、誰もコンパイラの重要な脆弱性を見つける動機がないということです。特に古いバージョンについては。しかし、これは Vyper や Curve の終わりではありません。私たちはこれらの公共財の問題を解決するために団結しなければなりません。個人的には、ユーザーが共同で資金提供する報奨プログラムを追加することで Vyper を改善する提案を以前に提出したことがあります。」

ChainCatcher のメッセージによると、バイナンスの CEO であるジャオ・チャンポンはソーシャルメディアに投稿し、バイナンスのユーザーは影響を受けないと述べました。バイナンスチームは Vyper の再入可能性の脆弱性を確認し、現在 0.3.7 以上のバージョンのみが使用されていることを確認しました。最新のコードベース、アプリケーション、オペレーティングシステムを維持することが非常に重要です。CEX の価格フィードが DeFi を救いました。

ChainCatcher のメッセージ、NFT 貸出プロトコル BendDAO が発表したところによると、すべての BendDAO コントラクトは Vyper ではなく Solidity でコンパイルされています。以前のニュース、Ethereum プログラミング言語 Vyper が発表したところによると、Vyper 0.2.15、0.2.16 および 0.3.0 バージョンの再帰ロックが無効になっており、現在調査中です。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds がツイッターで「Vyper の公式ドキュメント（インストールインターフェース）で推奨されているのは誤ったバージョンです。」と述べました。今日の早い段階で、イーサリアムプログラミング言語 Vyper が発表を行い、Vyper 0.2.15、0.2.16 および 0.3.0 バージョンの再帰ロックが無効であることを明らかにしました。Curve Finance は、Vyper の再帰ロックの故障により、ステーブルコインプール alETH/msETH/pETH が攻撃を受けたと述べています。セキュリティ機関の監視によると、Curve Finance の攻撃事件は 5200 万ドルの損失をもたらしました。

ChainCatcher のメッセージによると、Curve メカニズムを採用した BNB Chain エコシステム DEX Ellipsis Finance がツイートし、少数の旧版 Vyper コンパイラを使用している BNB ステーブルプールが攻撃を受けており、現在状況を評価中です。以前の情報によると、Curve Finance は Vyper の再帰ロックの故障により、ステーブルコインプール alETH/msETH/pETH が攻撃を受けたと発表しました。セキュリティ機関の監視によると、Curve Finance の攻撃事件は 5200 万ドルの損失を引き起こしています。

ChainCatcher のメッセージによると、Curve Finance は Twitter で、再入ロックの不具合により、Vyper 0.2.14 を使用しているいくつかの安定プール（alETH/msETH/pETH）が攻撃を受けていると述べています。現在、Curve は状況を評価しており、他のプールは安全です。さらに、Curve は「危険な組み合わせは影響を受けた Vyper バージョンと純粋な ETH の使用です」と述べています。

ChainCatcher のメッセージによると、イーサリアムプログラミング言語 Vyper は、Vyper 0.2.15、0.2.16 および 0.3.0 バージョンが再入ロックの不具合の影響を受けているとツイートしました。調査はまだ進行中です。