買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > XLM > Info

EFI:Pickle Finance遭攻擊損失近2000萬美元DAI,未經嚴格審計的DeFi路在何方?_JAR

Author:

Time:1900/1/1 0:00:00

這一周,“科學家”們很忙。11月14日,黑客攻擊ValueDeFi的MultiStablesVault池子,獲得近740萬美金的DAI;11月17日,黑客攻擊OriginProtocol憑空鑄造2050萬枚OUSD。

昨日凌晨2時37分,當人們還在熟睡之時,黑客攻擊DeFi協議PickleFinance,撈得近2000萬美元的DAI。

加密貨幣再次登上央視DeFi淪為“科學家”的提款機?

11月18日,比特幣沖擊18,000美元,加密貨幣再次登上央視,此前,加密貨幣被譽為去中心化的金融工具首次登上央視。

Epic與微軟擴大戰略合作,將集成Azure OpenAI服務:金色財經報道,微軟與軟件開發公司Epic宣布將擴大戰略合作,通過將Azure OpenAI Service1的規模和功能與Epic電子健康記錄(EHR)軟件相結合,開發生成式人工智能并將其集成到醫療保健中。此次合作擴展了雙方長期以來的合作關系,其中包括允許企業在微軟Azure云平臺上運行Epic環境。[2023/4/17 14:09:10]

據央視報道,從投資回報率的角度來看,加密貨幣是今年真正的“頭號”投資產品。“彭博銀河加密貨幣指數”上漲約65%,超過金價逾20%的漲幅,也超過全球股市、債市和大宗商品市場的收益率。漲幅較高的一個關鍵原因是以太坊幣價暴漲,漲幅達到169.40%。

央視解釋道:“以太坊幣價格攀升得益于去中心化金融工具的使用增加,以及疫情肆虐后各國出臺的巨額刺激措施,讓投資者選擇了比特幣、以太坊等加密貨幣進行保值。”

Web3眾籌平臺Security Token Market獲SPiCE VC投資:8月30日消息,Avalanche生態Web3眾籌平臺Security Token Market(STM)宣布獲得SPiCE VC投資,具體投資金額暫未對外披露。據稱,STM是Avalanche生態首創的Web3受監管眾籌平臺,投資者能夠利用Avalanche平臺并使用自己的錢包地址在區塊鏈上簽署智能合約,并選擇代幣參與眾籌投資。(Crowd FundInsider)[2022/8/30 12:56:53]

一方面,加密貨幣市場頻頻發出利好消息;另一方面,DeFi項目因未經嚴格審計頻遭攻擊。

據悉,今年9月10日酸黃瓜PickleFinance啟動流動性挖礦,9月14日V神發推文贊賞該項目,使其代幣價格暴漲10倍。而遭到此次攻擊后,酸黃瓜損失近價值2000萬的DAI,同時24小時內其代幣腰斬。

Animoca旗下游戲開發商Grease Monkey Games獲得Epic Mega Grant資金支持:8月19日消息,Animoca Brands旗下獨立游戲開發商Grease Monkey Games已獲得游戲巨頭Epic Games激勵計劃Epic Mega Grant的資金支持,所獲資金將用于繼續開發其賽車鏈游Torque Drift 2。

Epic Mega Grant是Epic Games于2019年推出的虛幻引擎激勵計劃,旨在加快全球各地使用虛幻引擎、3D圖形工具和開源軟件的優秀團隊與個人的工作進度。今年2月,Animoca Brands宣布已完成對獨立游戲開發商Grease Monkey Games的100%收購。(Cointelegraph)[2022/8/19 12:36:11]

CoinmarketCap數據顯示,PickleFinance代幣的價格在24小時內,從22.7美元跌到10.2美元,它的市值在未銷毀的情況下,24小時內蒸發了1220萬美元。

動態 | SpicePay疑因監管問題關閉比特幣錢包信用卡服務:據bitcoinexchangeguide消息,比特幣和區塊鏈支付服務提供商SpicePay最近宣布將關閉其比特幣錢包信用卡服務,但沒有詳細說明為何做出此決定。然而,該公司確實暗示這是因為監管問題,并告知SpicePay用戶需盡早提取其資金,用戶將有一周時間完成轉賬,之后該服務將關閉。[2018/10/17]

發生了什么?

PeckShield通過追蹤和分析發現,攻擊者通過StrategyCmpdDaiV2.getSuppliedUnleveraged()函數查詢資產余額1972萬美元;隨后,攻擊者利用輸入驗證漏洞將StrategyCmpdDaiV2中的所有DAI提取到PickleJar:這個漏洞位于ControllerV4.swapExactJarForJar()函數中,其中包含兩個既定的偽Jar。在未驗證既定Jar的情況下,此步驟會將存入的所有DAI提取到PickleJar,并進行下一輪部署。接下來,攻擊者調用earn()函數將提取的DAI部署到StrategyCmpdDaiV2中。在內部緩沖區管理中,黑客調用了三次earn()函數,在StrategyCmpdDaiV2中生成共計950,818,864.8211968枚cDAI;第一次調用earn()函數存入1976萬枚DAI,鑄造903,390,845.43581639枚cDAI;第二次調用earn()函數存入98.8萬枚DAI,鑄造45,169,542.27179081枚cDAI;第3次調用earn()函數存入4.9萬枚DAI,鑄造2,258,477.11358954枚cDAI;

聲音 | Bitpico:BTC成為“世界上最受操縱的商品” 已變現:據bitcoin.com消息,Bitpico是比特幣世界中一個有爭議的惡作劇者,據稱其憤怒地變現了BTC。這個假名實體以前曾因壓力測試比特幣現金網絡并試圖讓Segwit2x保持活力而受到關注,據報道,他現在已經完全洗手退出比特幣核心了。然而,仍有可能這只是臭名昭著的惡作劇者的最新宣傳噱頭。[2018/8/6]

隨后,攻擊者調用ControllerV4.swapExactJarForJar()函數,利用任意代碼執行將StrategyCmpdDaiV2中的所有cDAI提取出來,這一步中,_execute()函數有兩個參數:_target和_data,_target指的是目標地址,即圖中橘色所示部分;_target是一個加白的地址,攻擊者沒辦法任意控制此地址,此處他們利用的是CurveProxyLogic,該加白的合約(能通過262行approvedJarConverter的檢查。也就是說,能被完全控制的是參數_data,即圖中紫色所示部分,_data中包含_execute()函數可調用的add_liquidity()函數,以及傳給add_liquidity()的所有參數。

此時,咱們回到橘色框里的curve、curveFunctionSig、curvePoolSize、curveUnderlyingIndex、underlying,其中curve是一個地址,它表示橘色框里倒數第二行中的curve.call()函數可以執行任意一個合約,因此,攻擊者把curve設置成StrategyCmpdDaiV2,curveFunctionSig表示除了剛剛指定合約外,還可以指定要調用此合約的函數,通過此操作攻擊者成功調用StrategyCmpdDaiV2.withdraw()函數。

接下來就是組織藍色框中的函數StrategyCmpdDaiV2.withdraw()的參數_asset,藍色框中的_asset實際上是橘色框框里的liquidity,liquidity由傳入函數add_liquidity()的underlying得來,underlying是另一個偽造的合約地址,它的balanceOf()函數會返回cDAI的地址。攻擊者將cDAI的地址設置成liquidity,然后,liquidity被打包到callData里再傳給withdraw()函數,使得withdraw()函數取出的_asset就是cDAI的地址。值得注意的是,如果want==_asset,藍色框里的函數就不執行,此設計的目的在于want是不允許被取出的,所以攻擊者刻意取出對應的cDAI。

最后,執行回ControllerV4.swapExactJarForJar()函數,所提取的cDAI被存入惡意的_toJar.在_toJar.deposit()函數里,所有950,818,864.8211968枚cDAI立即轉入黑客地址。

未經嚴格審計的DeFi能走多遠?

針對此次PickleFinance被攻擊事件,其審計公司Haechi發推文稱,今年10月對其代碼進行了一次審計,但是攻擊者利用的漏洞發生在新創建的智能合約中,而不是接受安全審計的智能合約中。與此次漏洞攻擊相關的代碼存在于controller-v4.sol中的swapExactJarForJar,而非此前審計的controller-v3.sol中,該智能合約不包含swapExactJarForJar。

對此,PeckShield相關負責人表示:“有一些DeFi項目在做過第一次智能合約安全審計后,可能會為了快速上線主網,省略審計新增的智能合約,這種省略或能爭取短時的利益,但就像此次攻擊一樣最終因小失大。DeFi們在上線之前一定要確保代碼進行徹底地審計和研究,防范各種可能發生的風險。”

未經嚴格審計即上線的DeFi項目能走多遠?

Tags:DAIPICJAREFIDAILYS幣epic幣挖礦ShinjariumGEFI

XLM
Filecoin:觀察 | FIL貸款激增 幣貸市場難補缺口且存清算風險_FILE

據TheBlock分析稱,自10月中旬中國礦工發生對峙以來,Filecoin的總有效算力增長了40%以上,對峙導致網絡區塊獎勵升級和FIL貸款激增.

1900/1/1 0:00:00
okex:極致利空后迎利好,比特幣大爆炸如期而至_StrikeX

上周美國大選,擾動全球金融市場,不少資產的價格都隨著選情變動出現劇烈波動。比特幣的行情尤為壯闊.

1900/1/1 0:00:00
ETH:指南 | 成為以太坊2.0驗證者的5大理由_TAKI

本文來源:火星財經,原題《為什么說以太坊2.0是“懶惰驗證者的安全天堂”?》編譯:Bite@火星財經App11月4日,以太坊2.0項目負責人DannyRyan發布了ETH2存款合約.

1900/1/1 0:00:00
GRAM:瑞士批準俄羅斯天然氣工業銀行提供比特幣交易和托管服務_數字資產

據New.Bitocin.com?11月3日報道,俄羅斯第三大銀行的子公司、總部位于蘇黎世的俄羅斯天然氣工業銀行已獲得瑞士金融監管機構的批準,可以提供大量加密貨幣線管的服務.

1900/1/1 0:00:00
AGO:100個投票人能實現去中心化治理嗎?從數據看DAO的困境_ARA

分析師|Carol?編輯|Tong?出品|PANews隨著DeFi的火爆,與DeFi稍有關聯的其他領域也開始備受市場關注,去中心化自治組織就是其中之一.

1900/1/1 0:00:00
RISE:Risk! 虛擬幣最新罪名浮現_ISE

這幾天幣圈不太平,恐懼往往來自未知。我們觀察到,最近初現端倪:掩飾隱瞞犯罪所得罪成為“新寵”。為答疑解惑,颯姐團隊撰寫本文,以期為諸位老友普法.

1900/1/1 0:00:00
ads