比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Uniswap > Info

JAR:假錢換真錢,揭秘 Pickle Finace 被黑過程

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程

1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI

DeFi投資管理平臺Notum已完成Beta測試并正式上線:8月4日消息,DeFi投資管理平臺Notum近日已完成Beta測試,面向所有加密貨幣投資者開放。

據悉,Notum提供各種功能,例如智能錢包管理工具、低費用和高級分析。[2023/8/4 16:18:59]

2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI,。

美國參議員推出《加密貨幣網絡安全信息共享法案》草案:9月29日消息,美國參議員Marsha Blackburn與Cynthia Lummis推出一項新的法案草案《加密貨幣網絡安全信息共享法案》(Cryptocurrency Cybersecurity Information Sharing Act),旨在為加密貨幣公司報告網絡安全威脅提供指導方針。

據悉,該法案將修改2015年的《網絡安全信息共享法案》,將加密貨幣公司包括在內并賦予他們更多的法律靈活性,以便他們與聯邦當局共享信息,包括向處理數字資產的公司報告網絡威脅的自愿報告準則,旨在提供一套更新的監管指南,解決濫用加密貨幣以隱藏非法行為的問題。[2022/9/29 22:39:31]

3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI

研究:英國機構投資者的加密貨幣持有量將大幅增加:金色財經報道,數字資產管理公司 (Nickel) 的一項新研究表明,隨著該行業監管的改善,英國的專業投資者預計將推出更多的加密/數字投資基金。Nickel 委托英國的專業投資者進行研究,他們共同管理著約 717.3 億美元的資產,在未來三年內,93% 的人預計可用資金數量會增加,近四分之一 (23%) 的人預計會大幅增加。

Nickel 的研究發現,英國投資者強烈支持數字資產——所有被質疑的投資者都認為它們將成為主流資產,而 93% 的投資者認為數字資產——尤其是 DeFi 協議——正在成為傳統金融的重要顛覆性技術。當被問及他們對區塊鏈和數字資產技術的主要總體看法時,63% 的專業投資者表示它具有可擴展性,并且正在實現主流采用,而 17% 的專業投資者表示它對全球經濟具有強大的變革潛力。(finextra)[2022/6/22 1:24:27]

4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利

總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。

Tags:JARDAIROMOJAJarvis AIDAIN價格CryptochromeWojak Finance

Uniswap
BIT:BitMEX高層被指控在獲悉將受到政府調查后從交易所撤出了4.4億美元資金

據TheBlock11月1日消息,此前美國加州北部地區地方法院于5月對BitMEX相關實體和個人提起訴訟.

1900/1/1 0:00:00
KKT:觀點:以太坊2.0啟動之前就已成為最大的PoS鏈之一

據BeInCrypto消息,在上線主網之前,信標鏈就已經是最大的PoS區塊鏈之一。業內人士CooperTurley表示:“從這個角度來看,Eth2存款人和驗證器的數量已經超過了一些頂級PoS鏈上.

1900/1/1 0:00:00
比特幣:分析:機構投資者的興趣增加,比特幣價格一度逼近1.9萬美元

比特幣價格今天一度逼近1.9萬美元,而此時機構投資者對比特幣的興趣越來越大。比特幣在過去幾周的大部分時間里都在1.8萬美元至2萬美元之間波動,最近一次反彈發生在比特幣昨日跌破1.76萬美元之后,

1900/1/1 0:00:00
加密貨幣:美國司法部代表巴西政府扣押價值 2400 萬美元的虛擬貨幣

美國司法部發布公告稱,作為與巴西政府之間關于刑事事項法律互助條約的一部分,已代表巴西政府扣押了價值約2400萬美元的虛擬貨幣,以協助巴西進行互聯網欺詐調查工作.

1900/1/1 0:00:00
MES:Messari前主管:ETH可以在下一次牛市跑贏BTC

11月15日消息Messari前主管、股票及加密貨幣交易員QiaoWang發推稱:“我繼續看到越來越多的理由表明為什么ETH可以在下一次牛市跑贏BTC.

1900/1/1 0:00:00
區塊鏈:歐科云鏈OKLink:余額大于1BTC的錢包地址數量環比上升3115個

據歐科云鏈OKLink數據顯示,近七日比特幣鏈上活躍地址數總計558.04萬,環比下降0.18%;新增地址數總計356.74萬,環比上升0.36%;鏈上交易量總計364.08萬BTC.

1900/1/1 0:00:00
ads