据慢雾区情报,2020年11月22日,以太坊DeFi项目PickleFinance遭受攻击,损失约2000万DAI。慢雾安全团队第一时间跟进相关事件并进行分析,以下为分析简略过程
1、项目的Controller合约中的swapExactJarForJar函数允许传入两个任意的jar合约地址进行代币的兑换,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用户可以控制的变量,攻击者利用这个特性,将_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻击者设定的要抽取合约的DAI的数量,约2000万DAI
Allbridge:将对用户进行赔偿,补偿程序预计下周开始:金色财经报道,跨链桥Allbridge发布公告,表示已着手对用户进行赔偿。Allbridge在公告中写道:“我们将从因紧急关闭而导致交易陷入待处理状态的网桥用户开始。他们将首先获得补偿,其次是流动性提供者。”其目前正在为无法提取资产的有限合伙人起草一份申请表,允许他们申请赔偿并提供损失详情。该表格预计将在未来两天内完成,补偿程序预计将于下周开始。
此前消息,Allbridge因安全事件导致约57万美元损失,目前一攻击者已归还1500枚BNB,Allbridge正邀请另一攻击者谈判。[2023/4/5 13:46:13]
2、使用swapExactJarForJar函数进行兑换过程中,合约会通过传入的_fromJar合约和_toJar合约的token()函数获取对应的token是什么,用于指定兑换的资产。而由于_fromJar合约和_toJar合约都是攻击者传入的,导致使用token()函数获取的值也是可控的,这里从_fromJar合约和_toJar合约获取到的token是DAI,。
推特用户:NFT比可替代代币更好的主要原因是NFT是不可分割的:金色财经报道,推特用户0xSisyphus发推表示,我认为对于社会群体来说,NFT是比可替代代币更好的模型主要原因是:(1)NFT 是不可分割的,更容易感受到“社区”感;(2)Sudo的联合曲线可以在没有太多 TVL 的情况下实现高流动性交易,否则需要努力实施。考虑到这一点,我们用来控制 Discord 的PEBBLE ERC-20代币已转换为NFT格式,如果您有足够数量的ERC-20,您可以从合约中铸造NFT,NFT也可以在Sudoswap上买卖。[2022/8/16 12:28:55]
3.此时发生兑换,Controller合约使用transferFrom函数从?_fromJar合约转入一定量的的ptoken,但是由于fromJar合约是攻击者控制的地址,所以这里转入的ptoken是攻击者的假币。同时,因为合约从_fromJar合约中获取的token是DAI,然后合约会判断合约里的资金是否足够用于兑换,如果不够,会从策略池中赎回一定量的代币然后转到Controller合约中。在本次的攻击中,合约中的DAI不足以用于兑换,此时合约会从策略池中提出不足的份额,凑够攻击者设定的2000万DAI?
尼日利亚央行:该国传统银行正阻止央行数字货币eNaira的采用:7月20日消息,尼日利亚央行行长Godwin Emefiele表示,尼日利亚的银行正在阻止该国央行数字货币的采用,因为他们担心低成本的eNaira会导致传统银行服务的收入损失。同时尼日利亚央行今年早些时候曾表示,自去年10月推出eNaira钱包以来,只有约70万用户创建钱包,而该国目前约有5500万个银行账户。此外尼日利亚央行计划与尼日利亚MTN合作,以改善eNaira的使用现状。
注,2020年10月尼日利亚正式推出其央行数字货币eNaira。[2022/7/20 2:26:04]
4.兑换继续,Controller合约在从策略池里提出DAI凑够攻击者设定的2000万DAI后,会调用_fromJar的withdraw函数,将攻击者在第三步转入的假ptokenburn掉,然后合约判断当前合约中_toJar合约指定的token的余额是多少,由于_toJar合约指定的token是DAI,Controller合约会判断合约中剩余DAI的数量,此时由于第三步Controller合约已凑齐2000万DAI,所以DAI的余额是2000万。这时Controller合约调用_toJar合约的deposit函数将2000万DAI转入攻击者控制的_toJar合约中。到此,攻击者完成获利
总结:此次攻击中,攻击者通过调用Controller合约中的swapExactJarForJar函数时,伪造?_fromJar和_toJar的合约地址,通过转入假币而换取合约中的真DAI,完成了一次攻击的过程。
来源:金色财经
金妍解币:以太512多单获利35个点11.22后市行情走势分析及解套策略 以太512多单收获35?点之前金妍老师说的全都应验了,昨天就说看向520上方,今天又提示502之上全.线做多.
1900/1/1 0:00:00随着区块链技术的发展,数字艺术也逐渐开始艺术化。而目前数字艺术行业惊人的增长速度已让加密领域里的每个人都感到了惊讶.
1900/1/1 0:00:00金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是其中的项目周刊,带您一览本周主流项目以及明星项目的进展.
1900/1/1 0:00:00一个普通币圈交易者,在币圈做交易,其实很简单。寻找一个合适自身的交易模式,包括入场时机、仓位管理、止损设置、盈利离场几部分.
1900/1/1 0:00:00BTC行情分析:从小时级别图看,行情目前已经突破了布林带下轨的支撑在18200附近位置运行,MA各短线指标均是拐头下行,MACD空头能量来回放缩,快慢线死叉持续下行,KDJ三线死叉下行发散.
1900/1/1 0:00:00百家乐玩法看似简单,实际上却有很多复杂的技巧,易学难精,要想成为百家乐高手,需要研究很多技巧。在百家乐技巧中,连环百家乐游戏投注法占据了相当大的比重,选择了合适的投注法,可以大大提高胜率.
1900/1/1 0:00:00
火星链