PIC:Pickle Finance被盜2000萬美元的啟示

編者按：本文來自巴比特資訊，作者：rekt，編譯：灑脫喜，星球日報經授權發布。注：本周六，DeFi協議PickleFinance因其Jar策略中存在的漏洞，而被黑客盜走了2000萬美元，此后，由Rekt、StakeCapital團隊成員、samczsun等白帽黑客組成的臨時小隊對Pickle協議內剩余易受攻擊的5000萬美元用戶資金進行了搶救，作者Rekt對這次事件進行了總結。

金融的發酵還在繼續，即使是酸黃瓜也有保質期。PickleFinance因為一個假“Picklejar”漏洞而被黑客盜走了1970萬DAI。PickleFinance已成為了這次黑客大流行病的最新受害者。然而，這一次，有一些不同...當Twitter上的人們試圖接受另一次金融災難時，Rekt開始了調查。我們聯系了StakeCapital團隊，他們查看了代碼并警告我們其他Picklejar可能面臨風險。隨后，我們迅速聯系了PickleFinance團隊，并在SketchCapital成員以及有經驗的開發者@samczsun，@emilianobonassi之間建立了一個作戰室。在我們進行調查后，很明顯，我們看到的是與最近幾周的DeFi樂高風格黑客事件非常不同的東西。這不是一次套利。攻擊者對Solidity和EVM有著很好的了解，并且可能已經密切關注了一段時間的Yearn代碼，因為這個漏洞與一個月前在Yearn中發現的漏洞類似。從本質上說，PickleJar就是YearnyVaults的分叉，這些Jar是由一個名為theController的合約控制的，該合約具有允許用戶在Jar之間交換資產的功能。不幸的是，Pickle并沒有設置白名單允許哪個Jar使用這個交換功能。黑客制造了一個假的PickleJar，并交換了原Jar中的資金。這是有可能的，因為swapExactJarForJar沒有檢查“白名單”jar。PickleFinance團隊知道他們需要幫助，并非常愿意與其他人合作，以防任何進一步的損害。Pickle曾試圖調用“withdrawAll”函數，但這筆交易失敗了。這個取款請求需要通過治理DAO，而這存在12個小時的時間鎖。只有一個Pickle多重簽名組的成員有能力繞過這個時間鎖，而當時他們正在睡覺。這意味著管理者無法清空PickleJar，但這并不能保護他們免受另一次黑客攻擊。隨后，PickleFinance和Curve發出警告，要求用戶立即從Pickle中提取資金，然而，潛在易受攻擊的Picklejar中還有5000萬美元，而白帽團隊調查了這一漏洞，并檢查了剩余資金的安全性。救援小隊要么叫醒睡著的管理員，要么自己抽干這些jar內的資金。

德國風投公司Picus Capital推出web3和加密投資部門picus.xyz:金色財經報道，德國風險投資公司Picus Capital推出了專門的web3和加密投資部門picus.xyz。新的投資部門將主要投資web3和加密領域，即投資早期種子前到A系列階段，目標是web3基礎設施和消費產品，它將投資于股權和代幣。

Picus Capital 成立于 2015 年，已進行了 140 多項投資，包括 Nested、Omni 和 Gatherly。該公司已經支持了許多加密初創公司，包括質押服務 Stride、人工智能基礎設施平臺 Spice AI 和加密資產管理服務 Arch。[2022/12/10 21:35:15]

Epic Games：對區塊鏈游戲以及支持加密貨幣的游戲持開放態度:10月16日消息，游戲巨頭Epic Games向The Verge表示，它對在游戲商店中的區塊鏈游戲以及支持加密貨幣和區塊鏈資產的游戲持開放態度。在Epic發表聲明之前，其競爭對手Valve已禁止Steam上使用區塊鏈技術和NFT等資產的游戲。

當被問及以NFT為特色的游戲的可能性，Epic回答說，它愿意與該領域的早期開發者合作。然而，Epic提到，游戲必須符合金融法律，明確說明區塊鏈的使用方式，并具有適當的年齡評級。該公司還表示，不允許開發者使用Epic的支付服務接受加密支付，而是必須使用自己的支付系統。

據此前報道，區塊鏈游戲Age of Rust官方推特披露，Steam之所以會下架所有區塊鏈游戲是因為Steam認為這些游戲內物品具有價值，而他們不允許其平臺上具有現實價值的物品。Age of Rust表示堅信NFT和區塊鏈游戲是未來趨勢，但同時也尊重Steam的選擇。

據NME報道，Steam已開始下架所有涉及NFT或加密貨幣的游戲。Valve的新手入門頁面中添加的更新指出，不應在Steam上發布的應用程序包括“基于區塊鏈技術構建的可發行或允許交換加密貨幣或NFT的應用程序”。（Cryptodaily）[2021/10/16 20:34:09]

這個小隊必須克服5大挑戰：讓PickleFinance團隊跨多個時區聚集在一起，通過將交易推到12小時時間鎖提取資金，以拯救這些資金；讓成千上萬的投資者提出他們的資金；對其他jar進行安全檢查，看看是否有可能發生更多攻擊；在任何人再次攻擊這些jar之前，復制這種攻擊，將資金轉移出來；在試圖挽救剩余的5000萬美元資金時，避免被搶先交易；我們還能繼續依賴偽匿名白帽黑客的幫助多久？顯然，與保護者相比，攻擊者的動機更為一致，那白帽黑客為什么要協調這樣一次艱苦的反擊？榮譽歸白帽，資金卻歸黑客，這是不可持續的。要讓這些白帽變黑，還需要多久時間？分析

Pickle Finance：已執行時間鎖可撤銷違規代碼 恢復部分Jar存款:以太坊DeFi項目Pickle Finance官方更新攻擊事件進展。內容顯示，yearn.finance核心開發banteg已與Pickle Finance團隊及其他白帽黑客合作發布了攻擊事件黑客的技術細節。截至目前，團隊已于11月22日晚間23:15，執行一個時間鎖（Timelock）交易，授予Pickle Finance治理多簽錢包立即撤銷違規代碼的能力。此后23:16，違規的代理邏輯已從控制器被撤銷，這是識別攻擊向量所必需的。此外，其他Jar的存款已恢復，不過，請暫時不要將錢存入DAI Jar。昨日消息，以太坊DeFi項目 Pickle Finance遭受攻擊，損失約2000萬DAI。[2020/11/23 21:44:08]

通過發布這些技術信息，我們意識到我們可能會引發新的黑客攻擊。我們與PickleFinance及其他開發人員討論了潛在的后果，并確認我們不知道Pickle的任何運營分叉可能會受到模仿攻擊的影響。選擇性披露會帶來責任的一個方面，所以我們決定自由發布這些信息。如果有任何協議在運行Pickle的代碼分叉，他們應該要意識到正在發生的事件，并采取預防措施來防止黑客模仿者。下面的圖表是由@vasa_develop創建的。

Pickle協議發生程序問題 官方提醒暫時不要提幣:9月30日早間，Pickle Finance官方發推稱，Pickle協議PIP-8遷移未同步進行產生問題，在區塊10958758高度前在代幣池進行提款的用戶受到影響。官方聲明稱：

1.Pickle協議上的其他函數未受影響，所發生的問題不是智能合約的問題，只是程序問題；

2.錯誤致使系統將提現金額計算產生誤差，但代幣仍在PickleJar（代幣池）中，沒有丟失；

3.官方將收回資金，并將應得資金余額返回給提款的人；

4.由于受到12小時時間鎖的限制，在12小時內官方不能采取任何有效措施，

5.官方將在區塊10959175處進行快照，以確定獲得補償的用戶。與此同時，官方將不能補償在此區塊之后提款的用戶。

6.用戶需克制不要將代幣從代幣池中提出，直到官方發布通知。[2020/9/30]

原始文件可以在這里找到。關于更多詳情，請參閱此處官方的調查報告。看看相對較新的保險協議CoverProtocol如何處理這一事件是有趣的，這對他們的第一筆索賠來說是一筆巨大的金額。你可以在這里找到保險索賠的快照投票。

腌漬酸黃瓜是一個緩慢的過程。幾十年來，“敏捷開發”的倡導者一直在告訴開發人員，要快速行動，迅速失敗，并發布最小的可行產品。這些想法不適合在敵對環境中建設。在DeFi中迅速失敗是要付出巨大代價的。我們不需要另一種方法，我們需要一個范式轉換，允許快速迭代，同時減少被攻擊的可能性。我們不要再認為“擁有審計就擁有了安全的保證”，在大多數情況下，它是應用于移動目標的檢查表式安全措施的快照，這些目標通常在項目進入主網后不久就演變成了其他東西。MixBytes和Haechi的審計是在添加ControllerV4之前完成的，而ControllerV4是這次攻擊的關鍵向量之一。未來金融界最偉大的團隊，將是那些能夠在快速迭代和安全迭代之間進行權衡的團隊，其能夠定期對其可組合的貨幣機器人進行持續審計和嚴格測試。審計應該是一個定期的、持續的過程，而不是在啟動前打勾。新的DeFi協議會不斷變化和適應，而安全審計應反映這一點。畢竟，腌黃瓜只有在罐子里才能保持新鮮...

Tags：PICICKPICKPICKLEKickPadpickle幣還值得投資嗎PICKLE幣

世界幣