火星链 火星链
Ctrl+D收藏火星链

PIC:Pickle Finance被盗2000万美元的启示

作者:

时间:1900/1/1 0:00:00

注:本周六,DeFi协议PickleFinance因其Jar策略中存在的漏洞,而被黑客盗走了2000万美元,此后,由Rekt、StakeCapital团队成员、samczsun等白帽黑客组成的临时小队对Pickle协议内剩余易受攻击的5000万美元用户资金进行了抢救,作者Rekt对这次事件进行了总结。

金融的发酵还在继续,即使是酸黄瓜也有保质期。

PickleFinance因一个涉及假“Picklejar”漏洞而被黑客盗走了1970万DAI。

PickleFinance已成为了这次黑客大流行病的最新受害者。

《堡垒之夜》开发商Epic Games游戏商店上线首款NFT游戏:9月15日消息,区块链版“糖豆人”游戏Blankos Block Party在Epic Games Store上推出,成为该游戏市场上发布的第一个Web3游戏。

据悉,Blankos Block Party是区块链游戏公司Mythical Games制作的大型多人在线角色扮演游戏(MMO游戏)。此前2021年11月份,NFT游戏初创公司Mythical Games完成1.5亿美元C轮融资,a16z领投。(Decrypt)[2022/9/16 6:59:46]

然而,这一次,有一些不同...

当Twitter上的人们试图接受另一次金融灾难时,Rekt开始了调查。

我们联系了StakeCapital团队,他们查看了代码并警告我们其他Picklejar可能面临风险。

随后,我们迅速联系了PickleFinance团队,并在SketchCapital成员以及有经验的开发者@samczsun,@emilianobonassi之间建立了一个作战室。

Pickle Finance发起两项新提案欲增聘开发者并永久保留0xkoffee的任命:2月2日,Pickle Finance官方发推称,社区已发起PIP-27和PIP-28两项新提案。其中,PIP-27计划为Pickle Finance项目招聘新的开发人员,并设定招聘计划预算;PIP-28提案则计划永久保留0xkoffee的任命。根据该提案内容,开发者0xkoffee最初被紧急雇佣,其任期将在两周内结束。而鉴于0xkoffee的工作表现优异,将任命其为Pickle团队的常任理事。[2021/2/2 18:42:12]

在我们进行调查后,很明显,我们看到的是与最近几周的DeFi乐高风格黑客事件非常不同的东西。

这不是一次套利。

攻击者对Solidity和EVM有着很好的了解,并且可能已经密切关注了一段时间的Yearn代码,因为这个漏洞与一个月前在Yearn中发现的漏洞类似。

Pickle Finance因漏洞损失近2000万美元:11月22日消息,DeFi协议Pickle Finance在周六的一个漏洞中损失了近2000万美元的DAI。该漏洞利用涉及Pickle Finance的DAI pJar产品,该产品利用Compound协议通过DAI存款来收获收益。来自该漏洞的资金已被转移到地址0x70178102AA04C5f0E54315aA958601eC9B7a4E08,该地址就是漏洞当前所在的位置。目前还不清楚此漏洞发生原因。(The Block)[2020/11/22 21:38:42]

从本质上说,PickleJar就是YearnyVaults的分叉,这些Jar是由一个名为theController的合约控制的,该合约具有允许用户在Jar之间交换资产的功能。

不幸的是,Pickle并没有设置白名单允许哪个Jar使用这个交换功能。

黑客制造了一个假的PickleJar,并交换了原Jar中的资金。这是有可能的,因为swapExactJarForJar没有检查“白名单”jar。

Yearn.Finance:yVaults未受到Pickle Finance被盗用事件的影响:Yearn.Finance官方刚刚发布推文称,Yearn没有任何资金存入Pickle Finance产品,yVaults也没有受到最近Pickle Finance被盗用事件的影响。[2020/11/22 21:38:26]

PickleFinance团队知道他们需要帮助,并非常愿意与其他人合作,以防任何进一步的损害。

Pickle曾试图调用“withdrawAll”函数,但这笔交易失败了。

这个取款请求需要通过治理DAO,而这存在12个小时的时间锁。

只有一个Pickle多重签名组的成员有能力绕过这个时间锁,而当时他们正在睡觉。

这意味着管理者无法清空PickleJar,但这并不能保护他们免受另一次黑客攻击。

Pickle Finance已部署PIP-17提案调整奖励比例:Pickle Finance官方刚刚发推宣布,已实施部署PIP-17提案调整奖励比例。PIP-17提案于昨日获批,具体内容为:PICKLE-ETH LP奖励比例将从70%降至65%,prenBTCCRV奖励比例从5%提升到8%,pDAI奖励比例从4%提升到6%。[2020/11/12 12:22:48]

随后,PickleFinance和Curve发出警告,要求用户立即从Pickle中提取资金,然而,潜在易受攻击的Picklejar中还有5000万美元,而白帽团队调查了这一漏洞,并检查了剩余资金的安全性。

救援小队要么叫醒睡着的管理员,要么自己抽干这些jar内的资金。

这个小队必须克服5大挑战:

让PickleFinance团队跨多个时区聚集在一起,通过将交易推到12小时时间锁提取资金,以拯救这些资金;

让成千上万的投资者提出他们的资金;

对其他jar进行安全检查,看看是否有可能发生更多攻击;

在任何人再次攻击这些jar之前,复制这种攻击,将资金转移出来;

在试图挽救剩余的5000万美元资金时,避免被抢先交易;

我们还能继续依赖伪匿名白帽黑客的帮助多久?

显然,与保护者相比,攻击者的动机更为一致,那白帽黑客为什么要协调这样一次艰苦的反击?

荣誉归白帽,资金却归黑客,这是不可持续的。

要让这些白帽变黑,还需要多久时间?

分析

通过发布这些技术信息,我们意识到我们可能会引发新的黑客攻击。我们与PickleFinance及其他开发人员讨论了潜在的后果,并确认我们不知道Pickle的任何运营分叉可能会受到模仿攻击的影响。

选择性披露会带来责任的一个方面,所以我们决定自由发布这些信息。如果有任何协议在运行Pickle的代码分叉,他们应该要意识到正在发生的事件,并采取预防措施来防止黑客模仿者。

下面的图表是由@vasa_develop创建的。

原始文件可以在这里找到。

关于更多详情,请参阅此处官方的调查报告。

看看相对较新的保险协议CoverProtocol如何处理这一事件是有趣的,这对他们的第一笔索赔来说是一笔巨大的金额。你可以在这里找到保险索赔的快照投票。

腌渍酸黄瓜是一个缓慢的过程。

几十年来,“敏捷开发”的倡导者一直在告诉开发人员,要快速行动,迅速失败,并发布最小的可行产品。

这些想法不适合在敌对环境中建设。

在DeFi中迅速失败是要付出巨大代价的。

我们不需要另一种方法,我们需要一个范式转换,允许快速迭代,同时减少被攻击的可能性。

我们不要再认为“拥有审计就拥有了安全的保证”,在大多数情况下,它是应用于移动目标的检查表式安全措施的快照,这些目标通常在项目进入主网后不久就演变成了其他东西。

MixBytes和Haechi的审计是在添加ControllerV4之前完成的,而ControllerV4是这次攻击的关键向量之一。

未来金融界最伟大的团队,将是那些能够在快速迭代和安全迭代之间进行权衡的团队,其能够定期对其可组合的货币机器人进行持续审计和严格测试。

审计应该是一个定期的、持续的过程,而不是在启动前打勾。新的DeFi协议会不断变化和适应,而安全审计应反映这一点。

毕竟,腌黄瓜只有在罐子里才能保持新鲜...

标签:PICPICKICKPICKLEepic币教程pickle币最新消息MagickDAOPICKLE币

莱特币价格热门资讯
比特币:建行基于区块链发行价值30亿美元的债券,有什么值得期待?

来源:01区块链,作者:照生、雨林前言香港《南华早报》近日报道,中国建设银行与香港金融科技公司Fusang达成合作,将基于区块链发行价值30亿美元的债券.

1900/1/1 0:00:00
DOVE:政策丨《浙江省区块链技术和产业发展规划(2020-2025)》有望年底出台

11月23日,浙江省经济和信息化厅发布关于向社会公开征求《浙江省区块链技术和产业发展规划》意见建议的公告.

1900/1/1 0:00:00
AND:高管深陷法律纠纷、公司债台高筑,曾坐拥3亿美元贷款资本的Cred怎么了?

近日,加密借贷公司Cred向特拉华州的提交了破产申请,而其创始人与一名高管深陷法律纠纷,公司负债1亿至5亿美元。至此,这家信贷规模超过3亿美元的明星公司似乎已身陷囹圄再难恢复往日风光.

1900/1/1 0:00:00
比特币:谷歌趋势数据显示:随着比特币飙升至1.94万美元,“Bitcoin”搜索量达到今年最高水平

比特币的价格延续涨势,在今天早些时候飙升至19412美元,创下今年新高。 每日加密货币市场表现来源:Coin360确定比特币的实际历史最高纪录多少有些争议,因为不同的交易所列出了不同的数据.

1900/1/1 0:00:00
ETH:“灰度信仰”崩塌,感恩节比特币上演千刀暴跌行情

近在咫尺,忽然崩盘。11月26日上午11点半,比特币突然暴跌,从18913最低跌至17125,上演千刀暴跌行情。 近1小时内,合约市场爆仓3.67亿美金.

1900/1/1 0:00:00
USDT:巴比特专栏 | USDT交易合规的是与非

USDT是注册于马恩岛和香港的Tether公司于2014年11月左右推出的基于稳定价值美元的代币TetherUSD.

1900/1/1 0:00:00