這一周,“科學家”們很忙。
11月14日,黑客攻擊ValueDeFi的MultiStablesVault池子,獲得近740?萬美金的DAI;11月17日,黑客攻擊OriginProtocol憑空鑄造2050萬枚OUSD。
今天凌晨2時37分,當人們還在熟睡之時,黑客攻擊DeFi協議PickleFinance,撈得近2000萬美元的DAI。
加密貨幣再次登上央視?DeFi淪為“科學家”的提款機?
11月18日,比特幣沖擊18,000美元,加密貨幣再次登上央視,此前,加密貨幣被譽為去中心化的金融工具首次登上央視。據央視報道,從投資回報率的角度來看,加密貨幣是今年真正的“頭號”投資產品。“彭博銀河加密貨幣指數”上漲約65%,超過金價逾20%的漲幅,也超過全球股市、債市和大宗商品市場的收益率。漲幅較高的一個關鍵原因是以太坊幣價暴漲,漲幅達到169.40%。
Epic Games預計明年將在其市場上增加近20款支持加密的游戲:金色財經報道,Fortnite開發商Epic Games預計到明年將在其市場上增加近20款支持加密的游戲,目前Epic Games在其市場上有五款加密游戲。[2023/3/14 13:04:03]
央視解釋道:“以太坊幣價格攀升得益于去中心化金融工具的使用增加,以及疫情肆虐后各國出臺的巨額刺激措施,讓投資者選擇了比特幣、以太坊等加密貨幣進行保值。”
一方面,加密貨幣市場頻頻發出利好消息;另一方面,DeFi項目因未經嚴格審計頻遭攻擊。
據悉,今年9月10?日酸黃瓜PickleFinance啟動流動性挖礦,9月14日V神發推文贊賞該項目,使其代幣價格暴漲10倍。而遭到此次攻擊后,酸黃瓜損失近價值2000萬的DAI,同時24小時內其代幣腰斬。
谷歌向人工智能公司Anthropic投資3億美元,Alameda曾向其投資約5億美元:2月4日消息,谷歌已向人工智能初創公司Anthropic投資約3億美元,據三位知情人士透露,谷歌將通過這筆交易獲得約10%的股份,交易條款要求Anthropic用這筆錢從谷歌云計算部門購買計算資源。
OpenAI和Anthropic都在尋求開發生成式人工智能,即可以在幾秒鐘內編寫腳本和創作藝術的復雜計算機程序。據知情人士透露,雖然微軟試圖將OpenAI 的技術整合到自己的許多服務中,但谷歌與Anthropic的關系僅限于在人工智能軍備競賽中充當該公司的技術供應商。Anthropic開發了一款名為Claude的智能聊天機器人,可與OpenAI的ChatGPT相媲美,但尚未公開發布。
此前消息,Alameda/FTX向Anthropic投資約5億美元。[2023/2/4 11:46:36]
CoinmarketCap數據顯示,PickleFinance代幣的價格在24小時內,從22.7美元跌到10.2美元,它的市值在未銷毀的情況下,24小時內蒸發了1220萬美元。
YFI創始人:Yearn和Akropolis達成合作,Akropolis可使用Yearn,Pickle和Cream產品:YFI創始人Andre Cronje表示,Yearn和Akropolis達成合作,Yearn將繼續開發一流的Vault和借貸協議解決方案。Akropolis成為前臺機構服務提供商,提供定制的客戶網絡接入服務,并為客戶量身定制投資策略。協同作用:Akropolis和Yearn合并開發資源;Akropolis和Yearn TVL增加;Akropolis可使用Yearn,Pickle和Cream產品,并可將其DCA解決方案與這些產品集成;Yearn可以使用Akropolis制定的新投資策略;Yearn獲得了Akropolis業務發展的專業知識,并獲得了機構客戶網絡的支持。[2020/11/30 22:37:18]
發生了什么?
Yearn.Finance:yVaults未受到Pickle Finance被盜用事件的影響:Yearn.Finance官方剛剛發布推文稱,Yearn沒有任何資金存入Pickle Finance產品,yVaults也沒有受到最近Pickle Finance被盜用事件的影響。[2020/11/22 21:38:26]
PeckShield通過追蹤和分析發現,攻擊者通過StrategyCmpdDaiV2.getSuppliedUnleveraged()函數查詢資產余額1972萬美元;
隨后,攻擊者利用輸入驗證漏洞將StrategyCmpdDaiV2中的所有DAI提取到PickleJar:這個漏洞位于ControllerV4.swapExactJarForJar()函數中,其中包含兩個既定的偽Jar。在未驗證既定Jar的情況下,此步驟會將存入的所有DAI提取到PickleJar,并進行下一輪部署。
WETH將分配給Pickle參與者,取代sCRV:Pickle Finance發推宣布,根據通過的PIP-14提案,WETH將分配給Pickle參與者,取代sCRV。在新的WETH質押合約當中,PICKLE質押參與者將需要取消原有質押并重新質押他們的PICKLE。從Pickle Finance界面上看,雖然目前仍有sCRV質押選項,但是已經表明“不推薦”。[2020/10/29]
接下來,攻擊者調用earn()?函數將提取的DAI部署到StrategyCmpdDaiV2中。在內部緩沖區管理中,黑客調用了三次earn()函數,在StrategyCmpdDaiV2中生成共計950,818,864.8211968枚cDAI;
第一次調用earn()函數存入1976萬枚DAI,鑄造903,390,845.43581639枚cDAI;
第二次調用earn()函數存入98.8萬枚DAI,鑄造45,169,542.27179081枚cDAI;
第3次調用earn()函數存入4.9萬枚DAI,鑄造2,258,477.11358954枚cDAI;
隨后,攻擊者調用?ControllerV4.swapExactJarForJar()?函數,利用任意代碼執行將?StrategyCmpdDaiV2?中的所有?cDAI?提取出來,這一步中,_execute()?函數有兩個參數:_target和?_data,_target?指的是目標地址,即圖中橘色所示部分;_target?是一個加白的地址,攻擊者沒辦法任意控制此地址,此處他們利用的是?CurveProxyLogic,該加白的合約(能通過?262?行?approvedJarConverter?的檢查。也就是說,能被完全控制的是參數?_data,即圖中紫色所示部分,_data?中包含?_execute()?函數可調用的add_liquidity()?函數,以及傳給?add_liquidity()?的所有參數。
此時,咱們回到橘色框里的curve、curveFunctionSig、curvePoolSize、curveUnderlyingIndex、underlying,其中curve是一個地址,它表示橘色框里倒數第二行中的curve.call()?函數可以執行任意一個合約,因此,攻擊者把curve設置成StrategyCmpdDaiV2,curveFunctionSig表示除了剛剛指定合約外,還可以指定要調用此合約的函數,通過此操作攻擊者成功調用StrategyCmpdDaiV2.withdraw()?函數。
接下來就是組織藍色框中的函數StrategyCmpdDaiV2.withdraw()?的參數?_asset,藍色框中的?_asset實際上是橘色框框里的liquidity,liquidity由傳入函數add_liquidity()?的underlying得來,underlying是另一個偽造的合約地址,它的balanceOf()?函數會返回cDAI的地址。攻擊者將cDAI的地址設置成liquidity?,然后,liquidity被打包到callData里再傳給withdraw()?函數,使得withdraw()?函數取出的?_asset就是cDAI的地址。值得注意的是,如果want==_asset,藍色框里的函數就不執行,此設計的目的在于want是不允許被取出的,所以攻擊者刻意取出對應的cDAI。
最后,執行回ControllerV4.swapExactJarForJar()函數,所提取的cDAI被存入惡意的?_toJar.在_toJar.deposit()函數里,所有950,818,864.8211968枚cDAI立即轉入黑客地址
未經嚴格審計的DeFi能走多遠?
針對此次PickleFinance被攻擊事件,其審計公司Haechi發推文稱,今年10月對其代碼進行了一次審計,但是攻擊者利用的漏洞發生在新創建的智能合約中,而不是接受安全審計的智能合約中。與此次漏洞攻擊相關的代碼存在于controller-v4.sol中的swapExactJarForJar,而非此前審計的controller-v3.sol中,該智能合約不包含swapExactJarForJar。
對此,PeckShield相關負責人表示:“有一些DeFi項目在做過第一次智能合約安全審計后,可能會為了快速上線主網,省略審計新增的智能合約,這種省略或能爭取短時的利益,但就像此次攻擊一樣最終因小失大。DeFi們在上線之前一定要確保代碼進行徹底地審計和研究,防范各種可能發生的風險。”
未經嚴格審計即上線的DeFi項目能走多遠?
默燃周報,一文速覽Block.one、BB以及海外項目進展。Block.one推廣新業務EOSIOBaaS在發布EOSIOBaaS業務線后,Block.one近期發文開始推廣,服務類型按不同規模.
1900/1/1 0:00:00前段時間約朋友吃飯穿的人模狗樣,之前也沒發現他有什么特別突出的地方。酒后細問之下才知道把這些年打拼的積蓄都用來投資挖礦了,這不,弄了半年收益翻了一倍,拿出手機跟我嘚瑟半天,酒足飯飽在我羨慕的眼神.
1900/1/1 0:00:00行情瞬息萬變,作為交易者應該做到通則變,變則通,交易沒有固定這說法,方式方法可以固定,但思維一定要活躍,同樣的形態未必走同樣的走勢,是因為在大的環境下出現細小的變化四小時圖上,布林通道開口運行.
1900/1/1 0:00:00當前,以太坊與比特幣均在2020年創出新高,兩者的價格趨勢非常吻合。最近以太坊的高度看漲趨勢促使數字資產的價格大幅上漲,已突破600美元的關鍵點.
1900/1/1 0:00:00?很多投資者總是糾結,為什么自己進出場的點位不是很完美,總是相差一兩個點。今天小蝶要給大家介紹的就是幣市炒幣如何解套做多的單子.
1900/1/1 0:00:00鏈聞消息,去中心化借貸協議Aave宣布投資NFT收藏品游戲Aavegotchi的開發團隊PixelcraftStudios,投資金額未披露.
1900/1/1 0:00:00