據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程
1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI
烏克蘭經濟安全局:過去十年不受監管的加密交易所造成8100萬美元稅收損失:金色財經報道,烏克蘭經濟安全局在8月2日發布的報告稱,從2013年到2023年,不受監管的加密貨幣交易所給該國造成了至少30億格里夫納的稅收損失(約合8100萬美元)。該政府機構表示,它分析了烏克蘭居民在交易所的交易活動,同期比特幣交易量約為550億美元。
金色財經曾報道,烏克蘭總統澤連斯基于 2022年3月簽署了一項名為“虛擬資產”的立法,為該國的加密貨幣建立了監管框架。當時,政府表示正在努力修改烏克蘭的稅收和民法典以適應法律框架,但截至 2023年8月尚未實施對現有要求的修訂。[2023/8/3 16:14:44]
2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI,。
CreatorDAO完成2000萬美元種子輪融資,a16z和Initialized Capital領投:8月9日消息,CreatorDAO完成2000萬美元種子輪融資,a16z和Initialized Capital領投,Paris Hilton和音樂家The Chainsmokers等參投。據悉,CreatorDAO投資于創作者,以換取他們未來收入的一定比例,DAO結構允許眾包投資決策,并獎勵對DAO的貢獻。(CoinDesk)[2022/8/10 12:13:57]
3.此時發生兌換,Controller合約使用transferFrom函數從?_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI?
穩定幣協議QiDAO推出QiDAO V2,引入新的清算引擎并改進風險管理功能:6月29日消息,穩定幣協議QiDAO推出更新版本QiDAO V2,新功能包括新的清算引擎、改進的風險管理功能、特定于鏈的定制、保險庫棄用、多個前端。此外,QiDAO V2解決了社區的需求:限制每個保險庫可以擁有的債務規模;持續的流動性監控;新的保險庫和預言機代碼都必須在發布前得到DAO的批準。[2022/6/29 1:38:41]
4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利
總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造?_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。
來源:金色財經
金生有幣,11.24以太早間分析與操作建議以太凌晨繼續創新新高,已經達到兩年以來的新高位置,從四小時來看,目前幣價在MA5日均線上方運行,布林軌帶呈開口狀態,各指標呈上揚姿態.
1900/1/1 0:00:00當目標金融工具價格下跌時,賣空者就會賺錢,但他們并不總是受到企業或政府領導人的歡迎。那些對股票或貨幣進行反面押注的人,往往被描繪成破壞人們努力建設、發展和創造價值的鯊魚。 實際上,這是短視的.
1900/1/1 0:00:00黃金技術分析: 金價自止跌反彈后,上周又再度在觸及中軌壓力而連續回落,整體保持在1850-1890美元區間內運行,目前走勢初步在觸及區間底部支撐后展開反彈,有所偏漲.
1900/1/1 0:00:00行情回顧: 這個周六、日一反往日常態,老牌公鏈走出了劇烈的波動,尤其是滯漲主流幣的補漲帶動節奏,完成了一個輪動的循環,當前這階段沒辦法確定持續減倉是否正確,但是再去入場跟風大概率面臨被割.
1900/1/1 0:00:00BTC行情分析 小時圖分析,大餅昨天是震蕩行情,晚間6點最高來到18760附近遇阻后震蕩下行,凌晨0點回踩18139附近遇支撐后反彈。目前K線來到18400附近運行.
1900/1/1 0:00:00前言: 雖然我控制不了行情怎么走,但是我能夠通過盤中指標給出相對比較穩健的進場位置,從而降低交易中存在的風險,增加獲利的概率.
1900/1/1 0:00:00