昨夜開始,Curve 因受 Vyper 個別版本的重入鎖故障影響,導致旗下 alETH/msETH/pETH 等穩定池被黑客攻擊,由此引發一系列的 DeFi 次生災害與加密世界震蕩,至今仍在持續發酵中。
這也是 DeFi 世界罕見地直面針對智能合約語言層 Bug 的攻擊事件。不過相比于加密世界中常常見諸報端的 Solidity 語言,Vyper 其實并不那么為人所熟知。
那 Vyper 究竟是什么,它在 DeFi 世界中扮演著怎樣的角色,為什么它的 Bug 又會引起行業的高度關注?本篇文章 Foresight News 就帶大家來了解一下目前正處于風口浪尖的 Vyper 語言。
Vyper 創建于 2017 年,在此之前,開發人員編寫智能合約最常用的語言是 Solidity。而 Vyper 和 Solidity 一樣,都是一種面向智能合約的編程語言,可編譯為以太坊虛擬機(EVM)的字節代碼,運行在 EVM 上。
律師:美SEC訴Ripple如果獲勝,可能幾年內都收不到錢:金色財經報道,支持XRP的律師John Deaton最近就Ripple和美國證券交易委員會(SEC)之間正在進行的法律斗爭發表了一些聲明。Deaton認為,如果Ripple公司輸給了美SEC,可能幾年內都收不到錢,而且只有在Ripple公司上訴失敗的情況下才會出現該情況。他還認為,如果最高法院受理上訴,屆時國會還沒有采取行動,瑞波公司將贏得勝利。
此外,Deaton強調,如果美國證券交易委員會獲勝的情況下,Ripple公司將提出上訴,而目前的現狀(Ripple的法律問題)將在未來2-5年內繼續存在。[2023/7/7 22:23:34]
不過 Vyper 的編譯器使用 Python 進行編寫,是一種基于 Python 且兼容 EVM 的編程語言,具有強類型、小型編譯器代碼和高效的字節碼生成的特點,這也使其成為想要進入 Web3 的 Python 開發人員的最佳選擇之一。
這導致從采用率角度看,目前的 Vyper 也是僅次于 Solidity 的「第二大兼容 EVM 的智能合約編程語言」,截至此次攻擊事件發生前的 DeFiLlama 最新統計數據顯示:
Arbitrum日交易數超121萬筆,創歷史新高:金色財經報道,鏈上數據顯示,Arbitrum在3月22日的交易數超121萬筆,創歷史新高,同時超過以太坊主網的108萬筆交易和Optimism的26萬筆。[2023/3/23 13:20:55]
在目前的 DeFi 開發格局中(TVL 占比維度),Solidity 以 94.71% 的市場份額占據絕對壟斷地位,而 Vyper 以 3.04% 的市場份額位列第二名。
而第三名開始往后的 Rust(0.9% )、Cairo(0.53% )、Haskell(0.26% )已經是斷崖式下降。
除了基于 Python 的特點之外,Vyper 不采用面向對象模式、內聯匯編,并且不支持代碼重用、修飾符、繼承、函數重載、遞歸調用、無限長度循環和二進制定長浮點等。
此外它還針對安全性、可讀性、可審核性和 Gas 效率進行了優化:
以太坊信標鏈質押量超過1587萬枚ETH:金色財經報道,Dune數據顯示,當前以太坊信標鏈質押量為15,871,447枚ETH,占ETH流通總量的13.16%,驗證者數量達495,983個。
此外,以太坊信標鏈存款認證實體存入的ETH數量中,Lido市場占有率最高,達到29.25%,其次為Coinbase(12.99%)、Kraken(7.56%)、Binance(6.35%)、Staked.us(2.88%)、Bitcoin Suisse(2.48%)、Figment(2.43%)和Rocket Pool(2.11%)。[2023/1/3 9:49:54]
安全性:支持在 Vyper 中構建安全的智能合約;
可讀性:Vyper 的智能合約語言和編譯器實現力求簡單,以提高代碼的可讀性,尤其是對于沒有使用 Vyper 經驗的用戶以及一般沒有編程經驗的用戶;
可審核性:Vyper 代碼最大限度地讓人可讀,且其簡單架構減少了軟件錯誤,提升了智能合約的可審計性;
Vyper 的創始人 John Max Skaller 曾表示,構建 Vyper 有兩個原因:「首先,我喜歡 Python,特別是它的簡單性,但我不喜歡它缺乏范圍確定性,凡事都需要做大量更改來取得進展,因此我決定在保留與 Python 兼容性的同時,通過建造高級得多的編程語言,并在其中建造函數性編程語言的某些概念來改正這些問題。
五家國有大行參與多邊央行數字貨幣橋項目:金色財經報道,9月28日,工行、農行、建行、交行、中行等發布了參與多邊央行數字貨幣橋項目的情況。多邊央行數字貨幣橋項目是指香港金管局、泰國央行、阿聯酋央行和中國人民銀行數字貨幣研究所共同發起的“多種央行數字貨幣跨境網絡”(m-CBDC Bridge)。
農行稱,該行參與了多邊央行數字貨幣橋試點,進行了本次真實交易測試工作,幫助客戶完成以跨境貿易為主的多場景支付結算業務。工行及其阿布扎比分行、工銀亞洲等機構參與了此次試點,基于數字貨幣橋平臺為其客戶完成以跨境貿易為主的多場景支付結算業務。
此前消息,國際清算銀行(香港)創新中心、香港金融管理局、泰國中央銀行、阿聯酋中央銀行和中國人民銀行數字貨幣研究所聯合宣布,2022年8月15日至9月23日期間,在貨幣橋平臺上首次成功完成了基于四個國家或地區央行數字貨幣的真實交易試點測試。(經濟觀察網)[2022/9/29 6:02:32]
第二個原因是性能。我有一個稱之為 interscript 的主要 Python 程序,一個有讀寫能力的編程工具,它受到 Python 中缺乏良好結構和性能問題的困擾」。
加密錢包ZenGo推出名為ClearSign的Web3防火墻功能:6月22日消息,加密錢包提供商ZenGo推出了一項名為Clear Sign的新功能,該Web3防火墻將提醒用戶注意可疑的智能合約,并阻止簽署會暴露私鑰或助記詞的交易。Clear Sign已經集成在Collab.Land上,這是一種流行的Discord機器人,許多NFT項目使用它來驗證所有權。Clear Sign將在iOS和Android上可用。
ZenGo表示將在未來幾周內添加其他Dapp集成。[2022/6/22 1:25:00]
總的來說,Vyper 的設計初衷是為了創建出智能合約參與方易懂的透明智能合約簡化流程,以主打可讀性與可審核性,從而確保安全。
本章節談及的 Vyper 優劣勢,主要是相比 Solidity 語言,畢竟從上文提到的市場份額維度,其它的智能合約語言暫時還未形成較大的氣候。
首先,Vyper 相比 Solidity 的最大優勢之一,就是它基于 Python 開發的特性,因此雖然 Vyper 的功能和流行程度不如 Solidity,但對于熟悉 Python 的開發人員來說,它是理想的可選語言。
同時,Vyper 編譯器還選擇將局部變量存儲在內存中而不是堆棧上,這使得合約更加簡單和高效,并解決了其他高級語言中常見的「堆棧過深」的問題。
Vyper 也提供了更多內置函數,以確保幾乎每個 Solidity 和 Yul 中的功能在 Vyper 中也可以實現。開發者通過內置函數可以訪問低級位運算、外部調用和代理合約操作,通過編譯時提供覆蓋文件可以實現自定義存儲布局。
而 Vyper 相比 Solidity 的劣勢也很明顯,主要源于它是一種相對 Solidity 較新的語言,所以首當其沖自然是開發者維護和社區工具層面的短板:
Vyper 至今仍然缺乏 Solidity 所擁有的廣泛社區支持——Solidity 有大量優秀的開發工具可供使用,像 OpenZeppelin 為安全的智能合約開發提供開源庫,以及 Remix 在線 IDE 和本地開發人員環境 Hardhat 等 IDE,為其提供了允許輕松開發 DApp 的工具和功能。
截至發文時,GitHub 數據顯示,Solidity 的貢獻者為 568 人,而 Vyper 為 189 人,相差 3 倍。
不過 Vyper 雖然沒有豐富的的開發工具套件,但它有更緊密集成的工具,并且也可以插入到 Solidity 開發工具中——如 Titanaboa 解釋器,具有許多與 EVM 和 Vyper 相關的內置工具,可用于實驗和開發;Dasy,作為一種基于 Vyper 的 Lisp,具有編譯時代碼執行功能。
此外從技術細節角度,Vyper 缺少修飾符、類繼承和遞歸調用,并且編程語言不是圖靈完備的。
當然這些大部分是 Vyper 特意提供更少的功能,旨在提升安全性和可審計性,以使合約更安全和易于審核,但這也使得開發人員需要額外的工作來解決這些限制,從而意味著本就不占人力優勢的 Vyper 注定開發效能偏低。
目前來看,此次 Vyper 故障只涉及 0.2.15、 0.2.16 和 0.3.0 等幾個特定版本,且從上文也可知,使用 Vyper 編寫的頭部 DeFi 項目的體量并不大,僅占不到 5% 的 TVL 市場份額。
那為何此次 Vyper 的故障卻造成了如此大的影響?
簡言之,雖然在主流 DeFi 協議中,主動使用 Vyper 語言進行開發的項目并不多,且此次出現問題的是 Vyper 的幾個特定版本,但有一個頭部 DeFi 項目卻是基于 Vyper 開發:
沒錯,正是 Curve,主要原因似乎與上文提到的 Gas 優化特性有關——因為 Curve 合約較為復雜,Vyper 使得這些復雜性變得更易于管理,并進一步節省 Gas(其它基于 Vyper 開發的知名項目則屈指可數,如 Uniswap v1 版本、第一個 ETH 2.0 存款合約等)。
由于 Curve 已經成為 DeFi 世界甚至整個鏈上金融的關鍵基礎設施,所以在層層嵌套之下,Curve 的穩定池本質上就是絕大部分協議的底層資金與收益來源,這也是此次安全事件發生至今,JPEG'd、Alchemix、Metronome、deBridge、Ellipsis Finance 等余震不斷的關鍵原因。
不過 Vyper 的新版本已經修復這個漏洞,但由于受影響的 Curve 穩定池合約不可升級,因此無法進行部署升級,只能選擇廢棄對應合約,將資金撤出。
總的來看,此次安全事件之所以大家會心有余悸,主要是因為智能合約語言層的 Bug 風險,已經遠超 DeFi 協議本身或者說智能合約邏輯的范疇。
試想一下,如果此次不只是 Vyper,而是連 Solidity 也同樣出了問題,那么鏈上所有的 DeFi 協議可能都幾難幸免,我們甚至會真的面臨「DeFi 不存在了」的風險。
但禍兮福之所倚,這次 Curve 也算被動掀開了對智能合約語言層進行攻擊的問題蓋子,讓大家意識到了這個可能,對 DeFi 世界而言,是一次大考,也是一場自我救贖的機會。
Foresight News
企業專欄
閱讀更多
金色財經 Jason.
白話區塊鏈
金色早8點
LD Capital
-R3PO
MarsBit
深潮TechFlow
作者:ScalingX 確保其跨鏈橋的安全性是一個重要挑戰,因為需要保護存儲在智能合約或中央托管方中的資產.
1900/1/1 0:00:00前 言 基于區塊鏈技術的 Web3 顯露在歷史舞臺,有相當部分推力來源于人們對它能夠對抗商業組織特權與非自愿審查的期待——通過以代碼代替人治來保障每位參與者的權益.
1900/1/1 0:00:00作者:Meta Era, Kaishek 作為最大的安卓應用商店,谷歌商店 Google Play 擁有數十億用戶,提供超過 200 萬款手機應用和游戲.
1900/1/1 0:00:00作者:ZachXBT,鏈上偵探、加密KOL;翻譯:金色財經xiaozou關于WorldCoin,我是這樣看的.
1900/1/1 0:00:00來源:Paradigm;作者:深潮TechFlow7月25日,知名加密貨幣投資機構 Paradigm 在官網發布英雄帖《Collaborate with Paradigm》.
1900/1/1 0:00:00作者:Brendan Malone,Paradigm;編譯:Luffy,Foresight News穩定幣是升級和擴展數字時代支付系統千載難逢的機遇.
1900/1/1 0:00:00