比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > DOT > Info

DAI:Pickle Finance遭攻擊損失近2000萬美元DAI,未經嚴格審計的DeFi路在何方?

Author:

Time:1900/1/1 0:00:00

這一周,“科學家”們很忙。11月14日,黑客攻擊ValueDeFi的MultiStablesVault池子,獲得近740萬美金的DAI;11月17日,黑客攻擊OriginProtocol憑空鑄造2050萬枚OUSD。

昨日凌晨2時37分,當人們還在熟睡之時,黑客攻擊DeFi協議PickleFinance,撈得近2000萬美元的DAI。

加密貨幣再次登上央視DeFi淪為“科學家”的提款機?

11月18日,比特幣沖擊18,000美元,加密貨幣再次登上央視,此前,加密貨幣被譽為去中心化的金融工具首次登上央視。

谷歌、微軟、OpenAI和Anthropic首席執行官將同美國高級政府官員討論AI關鍵問題:金色財經報道,外媒5月3日引用一名白宮官員的話稱,谷歌、微軟、OpenAI和Anthropic的首席執行官將于當地時間周四(5月4日)與美國副總統卡瑪拉.哈里斯(Kamala Harris)等高級政府官員會面,討論關于人工智能(AI)的關鍵問題。邀請函中寫道,美國總統拜登希望這些公司在向公眾提供產品之前,必須確保產品的安全性。[2023/5/4 14:42:18]

據央視報道,從投資回報率的角度來看,加密貨幣是今年真正的“頭號”投資產品。“彭博銀河加密貨幣指數”上漲約65%,超過金價逾20%的漲幅,也超過全球股市、債市和大宗商品市場的收益率。漲幅較高的一個關鍵原因是以太坊幣價暴漲,漲幅達到169.40%。

央視解釋道:“以太坊幣價格攀升得益于去中心化金融工具的使用增加,以及疫情肆虐后各國出臺的巨額刺激措施,讓投資者選擇了比特幣、以太坊等加密貨幣進行保值。”

德國早期投資公司Picus Capital宣布成立加密和Web3投資部門:12月7日消息,德國早期科技投資公司Picus Capital宣布成立加密和Web3投資部門Picus.xyz,致力于支持加密貨幣和Web3業務。此外,Picus.xyz還計劃以股權融資和數字Token的形式為加密項目提供投資,雖然目前該部門尚未披露相關融投資信息,但Picus Capital此前已經投資了Web3游戲工作室Nefta和泛歐數字衍生品交易平臺D2X。[2022/12/7 21:28:36]

一方面,加密貨幣市場頻頻發出利好消息;另一方面,DeFi項目因未經嚴格審計頻遭攻擊。

據悉,今年9月10日酸黃瓜PickleFinance啟動流動性挖礦,9月14日V神發推文贊賞該項目,使其代幣價格暴漲10倍。而遭到此次攻擊后,酸黃瓜損失近價值2000萬的DAI,同時24小時內其代幣腰斬。

南非超市巨頭Pick n Pay接受比特幣支付:金色財經報道,南非最大的連鎖超市之一Pick n Pay現在允許客戶通過任何支持閃電網絡的應用程序使用比特幣付款。據《泰晤士報》報道,在過去五個月中,這種支付方式在10家商店進行了測試,現已在全國 39 家商店推出。[2022/11/1 12:06:14]

CoinmarketCap數據顯示,PickleFinance代幣的價格在24小時內,從22.7美元跌到10.2美元,它的市值在未銷毀的情況下,24小時內蒸發了1220萬美元。

發生了什么?

PeckShield通過追蹤和分析發現,攻擊者通過StrategyCmpdDaiV2.getSuppliedUnleveraged()函數查詢資產余額1972萬美元;隨后,攻擊者利用輸入驗證漏洞將StrategyCmpdDaiV2中的所有DAI提取到PickleJar:這個漏洞位于ControllerV4.swapExactJarForJar()函數中,其中包含兩個既定的偽Jar。在未驗證既定Jar的情況下,此步驟會將存入的所有DAI提取到PickleJar,并進行下一輪部署。接下來,攻擊者調用earn()函數將提取的DAI部署到StrategyCmpdDaiV2中。在內部緩沖區管理中,黑客調用了三次earn()函數,在StrategyCmpdDaiV2中生成共計950,818,864.8211968枚cDAI;第一次調用earn()函數存入1976萬枚DAI,鑄造903,390,845.43581639枚cDAI;第二次調用earn()函數存入98.8萬枚DAI,鑄造45,169,542.27179081枚cDAI;第3次調用earn()函數存入4.9萬枚DAI,鑄造2,258,477.11358954枚cDAI;

鏈上ChainUP WaaS聯盟與AI PICK達成深度戰略合作:據官方消息,鏈上ChainUP WaaS聯盟與AI PICK宣布達成深度戰略合作,雙方就區塊鏈技術應用落地、區塊鏈金融服務、資金安全等方面深度合作。

AI PICK是一個次世代的智能投顧平臺,于2020年10月開啟公測,目前已突破2000個有效用戶。AI PICK通過AI人工智能算法技術,顛覆傳統金融中介化和資金集中化的投資理財方式,引領金融行業的重大變革。在AI PICK中,平臺不接觸用戶的數字資產,數字資產永遠由用戶自己保管。 AI PICK的理念是:讓交易更簡單更智能。

WaaS聯盟是鏈上ChainUP集團依托3年時間所服務的400多家交易所經驗,將底層資產托管和200+主鏈幣種錢包封裝而成的一套完整的服務,包含主鏈資產托管、節點服務、主鏈定制開發、熱門幣種一鍵接入、共管錢包、借貸理財等多種功能服務,通過開放錢包API與SDK,幫助交易所、項目方、媒體等企業快速高效接入,實現資產云端安全托管,聯盟內部轉賬0手續費即時到賬。目前已有超過500家企業加入鏈上ChainUP WaaS聯盟。[2020/12/9 14:41:04]

Pickle Finance:此前12H時間鎖措施只是社區為提高安全性所做 不需要恐慌:9月23日早間,DeFi挖礦項目Pickle Finance曾發推表示,所有PickleJar和策略現處于12小時的時間鎖之下。剛剛Pickle Finance更新推文澄清稱,沒有任何需要擔心的,只是慶祝實施了進一步的時間鎖。而該舉措由社區提出,以提高信任和安全。Pickle Finance官方表示,團隊中多人共用推特賬號發文,有時候措辭不謹慎,若引起恐慌很抱歉。[2020/9/23]

隨后,攻擊者調用ControllerV4.swapExactJarForJar()函數,利用任意代碼執行將StrategyCmpdDaiV2中的所有cDAI提取出來,這一步中,_execute()函數有兩個參數:_target和_data,_target指的是目標地址,即圖中橘色所示部分;_target是一個加白的地址,攻擊者沒辦法任意控制此地址,此處他們利用的是CurveProxyLogic,該加白的合約(能通過262行approvedJarConverter的檢查。也就是說,能被完全控制的是參數_data,即圖中紫色所示部分,_data中包含_execute()函數可調用的add_liquidity()函數,以及傳給add_liquidity()的所有參數。

此時,咱們回到橘色框里的curve、curveFunctionSig、curvePoolSize、curveUnderlyingIndex、underlying,其中curve是一個地址,它表示橘色框里倒數第二行中的curve.call()函數可以執行任意一個合約,因此,攻擊者把curve設置成StrategyCmpdDaiV2,curveFunctionSig表示除了剛剛指定合約外,還可以指定要調用此合約的函數,通過此操作攻擊者成功調用StrategyCmpdDaiV2.withdraw()函數。

接下來就是組織藍色框中的函數StrategyCmpdDaiV2.withdraw()的參數_asset,藍色框中的_asset實際上是橘色框框里的liquidity,liquidity由傳入函數add_liquidity()的underlying得來,underlying是另一個偽造的合約地址,它的balanceOf()函數會返回cDAI的地址。攻擊者將cDAI的地址設置成liquidity,然后,liquidity被打包到callData里再傳給withdraw()函數,使得withdraw()函數取出的_asset就是cDAI的地址。值得注意的是,如果want==_asset,藍色框里的函數就不執行,此設計的目的在于want是不允許被取出的,所以攻擊者刻意取出對應的cDAI。

最后,執行回ControllerV4.swapExactJarForJar()函數,所提取的cDAI被存入惡意的_toJar.在_toJar.deposit()函數里,所有950,818,864.8211968枚cDAI立即轉入黑客地址。

未經嚴格審計的DeFi能走多遠?

針對此次PickleFinance被攻擊事件,其審計公司Haechi發推文稱,今年10月對其代碼進行了一次審計,但是攻擊者利用的漏洞發生在新創建的智能合約中,而不是接受安全審計的智能合約中。與此次漏洞攻擊相關的代碼存在于controller-v4.sol中的swapExactJarForJar,而非此前審計的controller-v3.sol中,該智能合約不包含swapExactJarForJar。

對此,PeckShield相關負責人表示:“有一些DeFi項目在做過第一次智能合約安全審計后,可能會為了快速上線主網,省略審計新增的智能合約,這種省略或能爭取短時的利益,但就像此次攻擊一樣最終因小失大。DeFi們在上線之前一定要確保代碼進行徹底地審計和研究,防范各種可能發生的風險。”

未經嚴格審計即上線的DeFi項目能走多遠?

Tags:DAIPICICKPICKADAI價格pickle幣還值得投資嗎BRICK幣NPICK

DOT
比特幣:被美國政府沒收的“28億美元”比特幣都去哪了?

11月4日,比特幣價格突破1.5萬美元之際,一個“沉睡”多年的比特幣錢包地址中有69,369枚比特幣被轉移,價值約10.8億美元.

1900/1/1 0:00:00
數字貨幣:10月各大交易所流入可疑資產14.64億美元,各國加大反洗錢監管力度

編者按:據數字資產可視化追蹤平臺CoinHolmes反洗錢態勢感知平臺觀察發現,目前各大數字資產交易所目前面臨著較大的反洗錢壓力,不僅存在涉恐地址污染.

1900/1/1 0:00:00
比特幣:觀點 | 數字投票時代即將到來,能用區塊鏈進行可靠的選舉嗎?

原文作者:NathanielWilliams原文鏈接:https://www.coindesk.com/digital-voting-privacy-blockchain在我寫這篇文章的時候.

1900/1/1 0:00:00
USD:OKEx投研 | 言頂為時尚早,本周或將以高位寬幅盤整為主

免責聲明:本專欄內容概不構成任何投資意見,內容亦并非就任何個別投資者的特定投資目標、財務狀況及個別需要而編制。投資者不應只按本專欄內容進行投資.

1900/1/1 0:00:00
COI:Coinbase宣布將下線保證金交易,分析稱市場將降溫

美國的專業加密貨幣交易交易所CoinbasePro將不再提供保證金交易。 該交易所援引美國商品期貨交易委員會的監管指導,稱從11月25日美國東部時間下午5點開始將不再有新的保證金交易.

1900/1/1 0:00:00
ETH:速懂ETH 2.0升級特點與思考點

作者:Future小哥哥一、ETH2.0的升級內容與規劃 Azuki地板價24小時跌幅超10%,暫報14.6ETH:金色財經報道,據NFTGo數據顯示.

1900/1/1 0:00:00
ads