Curve Finance 官方推特转发并推荐了 Vyper 开发者 @fubuloubu 关于 “为 Vyper 审计创建赏金计划” 的提议。 @fubuloubu 表示:“关于 Curve 黑客事件最糟糕的事情是,这不是一个典型的研究人员会寻找的东西,他们在我们的发布历史中 ‘深入挖掘’ 以找到一个让数百万人处于危险之中的大型协议的可利用漏洞。该漏洞问题可能需要花费几周到几个月的时间才能找到。执行是相当协调的,可能是由一个小组或团队。我们可能很快就会发现更多的信息,但由于此次攻击事件投入的资源,我认为有理由怀疑国家资助的黑客可能参与其中。”
@fubuloubu 分析称:“市场一直在收缩,这意味着出现漏洞的机会也在收缩,这意味着黑客正在寻找新鲜的、未开发的资源来探索,这令人担忧。首先,目前有 2 个合法编译器具有任何用途。 Vyper 的代码库更小,更容易阅读,对其历史进行分析的更改也更少,因此这可能就是攻击从 Vyper 开始的原因。但 Vyper 只是正在使用的合约的一小部分(solidity 的使用更广泛),其次,编译器并没有仔细受到审查或审计。大多数编译器都会进行重大且频繁的更改,这不利于审计。目前存在的问题是编译器的审核缺乏激励措施。没有人有动力去寻找编译器中的关键漏洞,尤其是过去发布的版本。我们必须团结起来解决这些类型的公共物品问题,在它们变得更糟之前。我有一个提案正在酝酿之中,即通过添加由用户共同赞助的赏金计划来帮助改进 Vyper 。”
- 原文链接
- 本内容只为提供市场信息,不构成投资建议。