比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > AAVE > Info

JAR:Pickle Finance被攻擊全過程

Author:

Time:1900/1/1 0:00:00

2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊跟進相關事件并進行分析,以下為分析簡略過程:

1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI。

Curve:已追回70%上周被盜資金,正測算受影響用戶各自份額:8月11日消息,Curve Finance官方表示,已追回70%上周因漏洞利用被盜資金,正積極調查其余資金,同時正測算每位受影響用戶的各自份額,以實現適當的分配。

此外,關于黑客攻擊安全報告更新:由于vyper 0.2.15-0.3.0中的漏洞,aleth、peth、mseth、crveth池被利用;arbitrum-tricrypto池可能受該漏洞影響,但未發現利用漏洞的可能性(不過,最好還是不要使用該池); Curve上的所有其他池都是安全的。[2023/8/11 16:21:13]

2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI。

比特幣網絡NFT協議Ordinals的“銘文”正消耗一半比特幣區塊空間:2月7日消息,比特幣礦企Riot Platforms研究副總裁Pierre Rochard發推稱,比特幣網絡NFT協議Ordinal的Inscriptions(銘文)正在消耗50%的比特幣區塊空間,區塊空間利用率為100%,費率中位數下降。

據悉,軟件工程師Casey Rodarmor推出基于比特幣的NFT協議Ordinals,Satoshi是比特幣網絡的原子性原生貨幣,Ordinals協議可以將任意內容刻在單個Satoshi上,創造出可以保存在比特幣錢包里并通過比特幣交易轉移的獨特比特幣原生數字藝術品。Inscriptions刻有任意內容,創造了比特幣原生的數字人工制品,通常被稱為NFT。Inscriptions不需要側鏈或單獨的Token。

據此前報道,昨日比特幣日平均區塊大小達到2,021,079.56,創3年來新高。[2023/2/7 11:51:57]

3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI。

CoinShares將CoinShares Physical Ethereum ETP管理費用降至0:2月1日消息,CoinShares 即日起將 CoinShares Physical Ethereum ETP 的管理費用從 1.25% 降至 0。此外,在以太坊上海升級之后,CoinShares 將能夠為其 CoinShares Physical Ethereum ETP 的投資者提供流動性和質押獎勵。

CoinShares 是位于歐洲的數字資產管理公司,為包括企業、金融機構和個人在內的眾多客戶提供廣泛的金融服務,涵蓋投資管理、交易、證券和消費產品。該集團總部位于澤西島,在法國、瑞典、英國和美國設有分支機構。[2023/2/1 11:41:23]

4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利。

來源:金色財經

Tags:JARDAI比特幣ROMJARED價格dai幣前景怎么樣比特幣交易所有哪些PROME價格

AAVE
CIR:宸浩論幣 以太坊上漲速度開始出現收緩 等待盤面的修復后續再繼續看

宸浩論幣:以太坊上漲速度開始出現收緩,等待盤面的修復后續再繼續看!以太坊的行情在日內沖高以后,目前也是進入了震蕩的行情,晚間的行情布局中也是講過,目前的行情在經過了這一輪的拉伸以后.

1900/1/1 0:00:00
區塊鏈:宸浩論幣 比特幣高位震蕩蓄力等待突破 11.22凌晨行情布局

宸浩論幣:比特幣高位震蕩蓄力等待突破,11.22凌晨行情布局比特幣四小時收線,行情收了一根陰線,沒有任何的意外,晚間的行情布局中宸浩就講過,目前比特幣上方的高點已經是得到了確定,對于這樣的行情.

1900/1/1 0:00:00
ETH:幣姥爺:瑞波拉盤,不講武德

今天的封面是《拉撒路的復活》,文森特·梵高項目分析圈子里18推薦的BNT今天漲勢不錯,目前已有20個點左右的收益.

1900/1/1 0:00:00
比特幣:新聞周刊 | 比特幣再創2年新高 灰度資產管理規模達99億美元

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.

1900/1/1 0:00:00
THE:馮博毅:11.23比特幣空頭下馬威、后市多頭能否堅定?

???馮博毅:11.23比特幣空頭下馬威、后市多頭能否堅定???在這個市場上沒有規劃的投資無異于在大海上漂浮的一只小船,隨時都有翻船的可能,投資并不會因為你是弱者而享受優先待遇,大浪淘沙.

1900/1/1 0:00:00
COM:幣圈龍校長:11.22 下午 ETH行情分析及操作建議

?各位幣友們,大家好,我是幣圈龍校長本著負責、誠懇、認真的態度用心寫好每一篇分析文章,在交易中,最重要的就是要敢于出手,面對機會,果斷出擊,這樣才不至于錯失機會.

1900/1/1 0:00:00
ads