據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程
1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI
Avalanche C鏈目前已恢復出塊,停止出塊時間約為80分鐘:3月26日消息,瀏覽器數據顯示,Avalanche C鏈目前已恢復出塊,停止出塊時間約為80分鐘。[2023/3/26 13:27:38]
2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI,。
IOVLabs發布RIF Flyover協議,推進比特幣主網和RSK側鏈上BTC轉賬:2月22日消息,根據IOVLabs分享的官方聲明,其全新的“還款協議”RIF Flyover已經發布,以優化Rootstock基礎設施框架平臺的設計。RIF Flyover是一個開源工具,旨在從比特幣主網和RSK側鏈中轉移比特幣。
據悉,IOVLabs是一家專注于將比特幣引入可編程金融生態系統的項目。(U.Today)[2023/2/22 12:20:39]
3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI
美國前財長Larry Summers已不再擔任DCG顧問:金色財經報道,哈佛大學教授、奧巴馬政府前首席財務顧問Larry Summers與加密貨幣集團DCG斷絕了聯系。Summers于2016年加入DCG擔任高級顧問。通過一位發言人,Summers表示自己幾個月前離開了DCG。
去年11月,這位前美國財政部長還在DCG的網站上被列為該公司顧問委員會的成員,目前該信息已從DCG網站上刪除。Summers自己的個人網站在周三更新,在個人簡介中刪除了他與DCG六年半的關系。[2023/1/5 10:23:55]
4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利
總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。
Coinbase首席執行官BrianArmstrong發推就其聽到的“美國財政部長StevenMnuchin正計劃任期屆滿之前就非托管加密錢包制定新法規”的傳聞表示擔憂,并指出.
1900/1/1 0:00:0011月25日,開源算法穩定幣項目BasisCash更新代幣分配規則,向將DAI、yCRV,USDT,SUSD和USDC存入其分配合約的用戶分配的BasisCash代幣數量從10萬減至5萬枚.
1900/1/1 0:00:00比特幣創始人中本聰與早期參與者HalFinney間三封此前未公開的郵件于近日被佩斯大學教授MichaelKaplikov公開.
1900/1/1 0:00:00剛剛,去中心化云計算區塊鏈網絡aelf官方宣布,已正式啟動主網。就在主網啟動前,官方提示稱,主網啟動需要兩個步驟:1.啟動5個BP節點和6個全節點;aelf網絡開始產出區塊,創世區塊誕生;8.8.
1900/1/1 0:00:00印度加密貨幣交易平臺CoinDCX聯合創始人兼首席執行官SumitGupta發布關于2021年的預測。1.印度加密市場的潛在增長。“2021年,你可能會看到很多區塊鏈和加密初創公司來自印度.
1900/1/1 0:00:00據FinanceMagnates消息,Ripple公司發布的2020年第三季度XRP市場報告顯示,XRP交易量較2020年第二季度激增108%.
1900/1/1 0:00:00