以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > NEAR > Info

Pickle Finance遭攻擊損失近2000萬美元DAI,未經嚴格審計的DeFi路在何方?_DAI

Author:

Time:1900/1/1 0:00:00

這一周,“科學家”們很忙。11月14日,黑客攻擊ValueDeFi的MultiStablesVault池子,獲得近740萬美金的DAI;11月17日,黑客攻擊OriginProtocol憑空鑄造2050萬枚OUSD。

今天凌晨2時37分,當人們還在熟睡之時,黑客攻擊DeFi協議PickleFinance,撈得近2000萬美元的DAI。加密貨幣再次登上央視DeFi淪為“科學家”的提款機?

11月18日,比特幣沖擊18,000美元,加密貨幣再次登上央視,此前,加密貨幣被譽為去中心化的金融工具首次登上央視。

SPiCE VC推出針對機構投資者的2.5億美元區塊鏈基金:5月10日消息,SPiCE VC宣布了一個新的2.5億美元專注于區塊鏈的基金,是該公司第一只基金的五倍,旨在吸引機構投資者。該公司還將在迪拜啟動路演,以吸引潛在的支持者。

最初的SPiCE I基金是一個價值5000萬美元的代幣化工具(意味著該基金的資產被轉化為代幣以向投資者提供流動性),該基金于2017年開始籌集資金,當時區塊鏈技術普遍用于金融垂直領域。該基金的投資組合包括去年上市的三家公司,數字安全平臺INX Limited、在線彩票平臺Lottery和加密貨幣交易所Bakkt。

SPiCE II是在區塊鏈使用擴展到更廣泛的行業之后推出的,包括游戲、零售、醫療保健和供應鏈管理。(CoinDesk)[2022/5/10 3:04:40]

游戲巨頭EPIC Games申請Megaverse商標,計劃在元宇宙內容市場投資10億美元:2月7日消息,游戲巨頭EPIC Games已申請“Megaverse”商標,其中描述除了與游戲內容相關之外,更結合各類虛擬實境內容應用,旨在擴大布局元宇宙市場。

不過,目前還無法確認EPIC Games將會如何使用Megaverse商標,也無法確認此商標名稱是否與EPIC Games前身EPIC MegaGames有關。另據EPIC Games首席執行官Tim Sweeney透露,該公司還計劃在元宇宙內容市場投資 10 億美元,除了將《堡壘之夜》(Fortnite) 銜接各類元宇宙應用,更預期藉由其 Unreal Engine 打造更多元宇宙應用發展。[2022/2/7 9:35:05]

據央視報道,從投資回報率的角度來看,加密貨幣是今年真正的“頭號”投資產品。“彭博銀河加密貨幣指數”上漲約65%,超過金價逾20%的漲幅,也超過全球股市、債市和大宗商品市場的收益率。漲幅較高的一個關鍵原因是以太坊幣價暴漲,漲幅達到169.40%。央視解釋道:“以太坊幣價格攀升得益于去中心化金融工具的使用增加,以及疫情肆虐后各國出臺的巨額刺激措施,讓投資者選擇了比特幣、以太坊等加密貨幣進行保值。”一方面,加密貨幣市場頻頻發出利好消息;另一方面,DeFi項目因未經嚴格審計頻遭攻擊。據悉,今年9月10日酸黃瓜PickleFinance啟動流動性挖礦,9月14日V神發推文贊賞該項目,使其代幣價格暴漲10倍。而遭到此次攻擊后,酸黃瓜損失近價值2000萬的DAI,同時24小時內其代幣腰斬。CoinmarketCap數據顯示,PickleFinance代幣的價格在24小時內,從22.7美元跌到10.2美元,它的市值在未銷毀的情況下,24小時內蒸發了1220萬美元。

Pickle Finance將于12月24日開啟五種PICKLE激勵池:12月23日,以太坊DeFi項目Pickle Finance官方宣布于SushiSwap上開通五種與以太坊對應的PICKLE激勵池,分別為:ETH/DAI、ETH/USDC、ETH/USDT、ETH/WBTC、ETH/YFI。其流動性獎勵將于北京時間12月24日02:00開啟。[2020/12/23 16:14:53]

發生了什么?

PeckShield通過追蹤和分析發現,攻擊者通過StrategyCmpdDaiV2.getSuppliedUnleveraged()函數查詢資產余額1972萬美元;隨后,攻擊者利用輸入驗證漏洞將StrategyCmpdDaiV2中的所有DAI提取到PickleJar:這個漏洞位于ControllerV4.swapExactJarForJar()函數中,其中包含兩個既定的偽Jar。在未驗證既定Jar的情況下,此步驟會將存入的所有DAI提取到PickleJar,并進行下一輪部署。接下來,攻擊者調用earn()函數將提取的DAI部署到StrategyCmpdDaiV2中。在內部緩沖區管理中,黑客調用了三次earn()函數,在StrategyCmpdDaiV2中生成共計950,818,864.8211968枚cDAI;第一次調用earn()函數存入1976萬枚DAI,鑄造903,390,845.43581639枚cDAI;第二次調用earn()函數存入98.8萬枚DAI,鑄造45,169,542.27179081枚cDAI;第3次調用earn()函數存入4.9萬枚DAI,鑄造2,258,477.11358954枚cDAI;

SPiCE代幣化區塊鏈基金在馬來西亞扶桑交易所上市:金色財經報道,SPiCE Venture Capital已將其代幣化區塊鏈基金(SPiCE VC)在馬來西亞扶桑交易所(Fusang Exchange)上市。該公司董事Tal Elyashiv表示,扶桑將向亞洲的全球投資者、家族辦公室和機構介紹SPiCE VC。[2020/9/2]

隨后,攻擊者調用ControllerV4.swapExactJarForJar()函數,利用任意代碼執行將StrategyCmpdDaiV2中的所有cDAI提取出來,這一步中,_execute()函數有兩個參數:_target和_data,_target指的是目標地址,即圖中橘色所示部分;_target是一個加白的地址,攻擊者沒辦法任意控制此地址,此處他們利用的是CurveProxyLogic,該加白的合約,然后,liquidity被打包到callData里再傳給withdraw()函數,使得withdraw()函數取出的_asset就是cDAI的地址。值得注意的是,如果want==_asset,藍色框里的函數就不執行,此設計的目的在于want是不允許被取出的,所以攻擊者刻意取出對應的cDAI。最后,執行回ControllerV4.swapExactJarForJar()函數,所提取的cDAI被存入惡意的_toJar.在_toJar.deposit()函數里,所有950,818,864.8211968枚cDAI立即轉入黑客地址。未經嚴格審計的DeFi能走多遠?

針對此次PickleFinance被攻擊事件,其審計公司Haechi發推文稱,今年10月對其代碼進行了一次審計,但是攻擊者利用的漏洞發生在新創建的智能合約中,而不是接受安全審計的智能合約中。與此次漏洞攻擊相關的代碼存在于controller-v4.sol中的swapExactJarForJar,而非此前審計的controller-v3.sol中,該智能合約不包含swapExactJarForJar。對此,PeckShield相關負責人表示:“有一些DeFi項目在做過第一次智能合約安全審計后,可能會為了快速上線主網,省略審計新增的智能合約,這種省略或能爭取短時的利益,但就像此次攻擊一樣最終因小失大。DeFi們在上線之前一定要確保代碼進行徹底地審計和研究,防范各種可能發生的風險。”未經嚴格審計即上線的DeFi項目能走多遠?

Tags:DAIPICJAREFIDAIQ價格EPIC CoinJARED價格PINETWORKDEFI幣

NEAR
彭博分析師:1萬億市值是比特幣的“下一個巨大阻力”_比特幣

彭博社的一位資深分析師表示,比特幣再次達到歷史高點20000美元并不是終點,而是其市值呈爆炸式增長至1萬億美元的開始.

1900/1/1 0:00:00
牛市可能才剛開始?全面了解交易量與價格的關系_BTC

交易量 交易額 說到交易量,可能有的朋友會馬上聯想到K線圖上的交易量,K線圖下方一般會顯示相應時間內的交易“量”.

1900/1/1 0:00:00
Delphi Digital:Uniswap停礦對DeFi世界會產生哪些影響?_SWAP

編者按:本文來自鏈聞ChainNews,撰文:DelphiDigital,加密貨幣研究機構,編譯:盧江飛,星球日報經授權發布.

1900/1/1 0:00:00
富達:人們對比特幣有這些最常見誤解,我們來一一回應_比特幣

編者按:本文來自鏈聞ChainNews,撰文:RiaBhutoria,富達數字資產研究總監,編譯:PerryWang,星球日報經授權發布。圍繞比特幣仍不少批評和誤解,在此讓我們回顧并回應.

1900/1/1 0:00:00
BlockArk:從UNI停礦看有效市場假說在加密市場的應用_UNI

有效市場假說 金融學專業的大學生在開始學習專業課程不久后,就會了解到有效市場假說理論。該理論認為,在一個信息透明且充分競爭的市場中,一切有價值的信息已經反應在價格中,其中包括對未來價值的預期.

1900/1/1 0:00:00
星球日報 | 英國女王表示對區塊鏈感興趣;德意志交易所上市VanEck比特幣ETN_區塊鏈

頭條 哈薩克斯坦計劃引入央行數字貨幣,擬于2021年下半年公布相關報告據哈薩克斯坦央行發布消息,哈央行目前正在研究引入央行數字貨幣.

1900/1/1 0:00:00
ads