據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程
1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI
美國總統參選人小羅伯特?肯尼迪譴責拜登提出的比特幣挖礦稅:5月4日消息,美國2024年總統參選人小羅伯特?肯尼迪 (Robert F. Kennedy Jr.) 譴責了拜登提出的30%比特幣挖礦稅,并回應了人們對加密貨幣的擔憂。肯尼迪在推特上表示:“比特幣等加密貨幣以及其他加密技術是主要的創新引擎。美國政府阻礙該行業并推動其他地方的創新是錯誤的。拜登提議對加密貨幣挖礦征收30%的稅不是一個好主意。能源使用雖然是一個問題(盡管有些夸大),但比特幣挖礦的能源消耗與電子游戲差不多,而沒有人呼吁禁止它們。環境方面的爭論是一個選擇性的借口,用來壓制任何威脅精英權力結構的東西,比如比特幣。一些人提倡嚴格控制加密貨幣以防止它們被犯罪分子使用。但想要隱私的不僅僅是罪犯。持不同政見者和普通公民也是如此。政府通過控制銀行賬戶和支付平臺來騷擾敵人并鎮壓異議。”[2023/5/4 14:42:34]
2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI,。
社交NFT市場NFT.com發布公測版,初始測試期間不收取交易費用:金色財經報道,社交 NFT 市場 NFT.com 發布公測版,初始測試期間不收取交易費用。 NFT.com 稱其引入了以 NFT 表示社交資料的概念,稱為NFT Profile,還包含支持購買和銷售 NFT 的市場,并支持通過其他 NFT 聚合器交易 NFT。NFT.com 表示此前封閉測試版本已積累了超過 9000 個創建的 NFT 配置文件和 970 萬個 NFT。[2023/2/16 12:11:52]
3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI
歐元區6月CPI同比增長8.6%,續創歷史新高:7月2日消息,歐元區6月CPI同比增長8.6%,續創歷史新高,預期增長8.4%,前值增長8.1%。歐元區6月CPI環比增長0.8%,預期增長0.7%,前值增長0.8%。(財聯社)[2022/7/2 1:45:57]
4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利
總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。
Tags:JARDAIROMNFTJAR幣Daily Crypto Giveawaysprom幣是什么幣NFT SolPad
當被問及今年早些時候預計的IPO時,Ripple首席執行官BradGarlinghouse表示,沒有區塊鏈或加密公司在2020年上市,COVID-19是重要的影響因素.
1900/1/1 0:00:00Filecoin的ColinEvran與Aave創始人兼首席執行官StaniKulechov,RenProtocol首席技術官?LoongWang和ConsenSysCodefi產品負責人Cor.
1900/1/1 0:00:00對于“特朗普正在考慮赦免暗網絲綢之路創始人RossUlbricht”的消息,比特幣社區成員表示強烈贊同.
1900/1/1 0:00:00北京大學經濟學博士、知密大學創始人劉昌用在社交媒體對關于近期行情的幾個問題進行了回答。劉昌用表示,本輪比特幣下跌是非常正常的調整,連續上漲7周不大幅調整,才是非常奇怪的事.
1900/1/1 0:00:00《中國金融》2020年第23期,中國銀行研究院熊啟躍和原曉惠刊文《歐美大型銀行戰略調整動向》,文章分析總結12家大型銀行采取的不同的調整策略,得到的啟迪包括依托科技數字化做精“客戶旅程體驗”.
1900/1/1 0:00:00近日,維卡幣創始人、加密女王RujaIgnatova的辯護律師MarkScott被紐約州取消律師資格.
1900/1/1 0:00:00