比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Pickle Finance被盜2000萬美元的啟示_PICK

Author:

Time:1900/1/1 0:00:00

注:本周六,DeFi協議PickleFinance因其Jar策略中存在的漏洞,而被黑客盜走了2000萬美元,此后,由Rekt、StakeCapital團隊成員、samczsun等白帽黑客組成的臨時小隊對Pickle協議內剩余易受攻擊的5000萬美元用戶資金進行了搶救,作者Rekt對這次事件進行了總結。

金融的發酵還在繼續,即使是酸黃瓜也有保質期。

PickleFinance因一個涉及假“Picklejar”漏洞而被黑客盜走了1970萬DAI。

PickleFinance已成為了這次黑客大流行病的最新受害者。

鏈游Chainmonsters完成150萬美元融資,將于3月6日上線Epic Games:金色財經報道,RPG鏈游Chainmonsters完成150萬美元融資,具體融資信息暫未披露,3月6日將上線Epic Games。

據悉,Chainmonsters是由B-Side Games開發的基于區塊鏈的MMORPG游戲。該游戲最初在以太坊區塊鏈上運行,然后遷移到Flow區塊鏈。[2023/2/21 12:18:32]

然而,這一次,有一些不同...

當Twitter上的人們試圖接受另一次金融災難時,Rekt開始了調查。

我們聯系了StakeCapital團隊,他們查看了代碼并警告我們其他Picklejar可能面臨風險。

隨后,我們迅速聯系了PickleFinance團隊,并在SketchCapital成員以及有經驗的開發者@samczsun,@emilianobonassi之間建立了一個作戰室。

NFT借貸市場聚合器和流動性路由協議Spice Finance完成170萬美元融資:10月28日消息,據官方公告,NFT借貸市場聚合器和流動性路由協議Spice Finance宣布完成170萬美元融資,Shima Capital領投,ProtoFund、Big Brain Holdings、Delta Blockchain Fund、Side Door Ventures、Nxgen、Hypotenuse Labs、Origin Protocol、Orrick、Crest Group等參投,該協議將在未來幾個月內推出。[2022/10/28 11:52:12]

在我們進行調查后,很明顯,我們看到的是與最近幾周的DeFi樂高風格黑客事件非常不同的東西。

這不是一次套利。

攻擊者對Solidity和EVM有著很好的了解,并且可能已經密切關注了一段時間的Yearn代碼,因為這個漏洞與一個月前在Yearn中發現的漏洞類似。

白帽黑客:Pickle Finance攻擊者通過偽造jar來竊取資金:11月22日消息,就Pickle Finance因漏洞損失近2000萬美元一事,白帽黑客、DeFi Italy聯合創始人Emiliano Bonassi表示,攻擊者部署了“邪惡jar ”,這是一種智能合約,具有傳統jar的相同界面,但是卻做壞事。然后,攻擊者在他的“邪惡jar ”和真正的cDAI jar之間交換了資金,偷走了價值2000萬美元的存款。(Cointelegraph)[2020/11/22 21:38:31]

從本質上說,PickleJar就是YearnyVaults的分叉,這些Jar是由一個名為theController的合約控制的,該合約具有允許用戶在Jar之間交換資產的功能。

不幸的是,Pickle并沒有設置白名單允許哪個Jar使用這個交換功能。

Pickle Finance已啟動新BUG獎勵計劃:Pickle Finance剛剛發推文稱,協議安全性非常重要,已啟動新的BUG獎勵計劃。[2020/11/12 12:22:17]

黑客制造了一個假的PickleJar,并交換了原Jar中的資金。這是有可能的,因為swapExactJarForJar沒有檢查“白名單”jar。

PickleFinance團隊知道他們需要幫助,并非常愿意與其他人合作,以防任何進一步的損害。

Pickle曾試圖調用“withdrawAll”函數,但這筆交易失敗了。

這個取款請求需要通過治理DAO,而這存在12個小時的時間鎖。

只有一個Pickle多重簽名組的成員有能力繞過這個時間鎖,而當時他們正在睡覺。

Pickle?Finance:PickleJar已重新啟動且將進行遷移:剛剛,流動性挖礦項目Pickle?Finance官方發推宣布,PickleJar已重新啟動。由于舊的PickleJar現在不能使用,官方將會進行新PickleJar遷移。用戶舊的代幣(pTokens)也將遷移到新的代幣。在接下來24小時內,將會開辟新池提供服務。此前消息,Pickle Finance中PickleJar控制器出現錯誤,導致提款金額不正確,隨后官方表示將重新分配資金和恢復PickleJar操作。[2020/10/2]

這意味著管理者無法清空PickleJar,但這并不能保護他們免受另一次黑客攻擊。

隨后,PickleFinance和Curve發出警告,要求用戶立即從Pickle中提取資金,然而,潛在易受攻擊的Picklejar中還有5000萬美元,而白帽團隊調查了這一漏洞,并檢查了剩余資金的安全性。

救援小隊要么叫醒睡著的管理員,要么自己抽干這些jar內的資金。

這個小隊必須克服5大挑戰:

讓PickleFinance團隊跨多個時區聚集在一起,通過將交易推到12小時時間鎖提取資金,以拯救這些資金;

讓成千上萬的投資者提出他們的資金;

對其他jar進行安全檢查,看看是否有可能發生更多攻擊;

在任何人再次攻擊這些jar之前,復制這種攻擊,將資金轉移出來;

在試圖挽救剩余的5000萬美元資金時,避免被搶先交易;

我們還能繼續依賴偽匿名白帽黑客的幫助多久?

顯然,與保護者相比,攻擊者的動機更為一致,那白帽黑客為什么要協調這樣一次艱苦的反擊?

榮譽歸白帽,資金卻歸黑客,這是不可持續的。

要讓這些白帽變黑,還需要多久時間?

分析

通過發布這些技術信息,我們意識到我們可能會引發新的黑客攻擊。我們與PickleFinance及其他開發人員討論了潛在的后果,并確認我們不知道Pickle的任何運營分叉可能會受到模仿攻擊的影響。

選擇性披露會帶來責任的一個方面,所以我們決定自由發布這些信息。如果有任何協議在運行Pickle的代碼分叉,他們應該要意識到正在發生的事件,并采取預防措施來防止黑客模仿者。

下面的圖表是由@vasa_develop創建的。

原始文件可以在這里找到。

關于更多詳情,請參閱此處官方的調查報告。

看看相對較新的保險協議CoverProtocol如何處理這一事件是有趣的,這對他們的第一筆索賠來說是一筆巨大的金額。你可以在這里找到保險索賠的快照投票。

腌漬酸黃瓜是一個緩慢的過程。

幾十年來,“敏捷開發”的倡導者一直在告訴開發人員,要快速行動,迅速失敗,并發布最小的可行產品。

這些想法不適合在敵對環境中建設。

在DeFi中迅速失敗是要付出巨大代價的。

我們不需要另一種方法,我們需要一個范式轉換,允許快速迭代,同時減少被攻擊的可能性。

我們不要再認為“擁有審計就擁有了安全的保證”,在大多數情況下,它是應用于移動目標的檢查表式安全措施的快照,這些目標通常在項目進入主網后不久就演變成了其他東西。

MixBytes和Haechi的審計是在添加ControllerV4之前完成的,而ControllerV4是這次攻擊的關鍵向量之一。

未來金融界最偉大的團隊,將是那些能夠在快速迭代和安全迭代之間進行權衡的團隊,其能夠定期對其可組合的貨幣機器人進行持續審計和嚴格測試。

審計應該是一個定期的、持續的過程,而不是在啟動前打勾。新的DeFi協議會不斷變化和適應,而安全審計應反映這一點。

畢竟,腌黃瓜只有在罐子里才能保持新鮮...

Tags:PICICKPICKLEPICKPICO價格Win Space Ticketpickle幣前景pickle幣最新消息

狗狗幣價格
決定BCH分叉與未來的四個男人:Roger、江卓爾、楊海坡、吳忌寒_COIN

11月15日,BCH即將再次分叉,隨著幣安和Coinbase的表態,BCHN基本推翻了原開發團隊ABC。總結來看,ABC在沒有共識下強推IFP,是此次分叉的直接原因.

1900/1/1 0:00:00
Cred破產的隱秘角落:曾做現金貸的聯創挪用巨款,員工投入36年積蓄討債無望_RED

“千百年來,有幾個生意模式一直沒有變:菠菜、顏色與借貸。其中菠菜與顏色的長久依賴于對客戶欲望的引誘,而借貸的永續更多仰仗放貸機構的自我品性與極端壓力測試.

1900/1/1 0:00:00
Grayscale再買入7223個比特幣,持有總量超過50萬里程碑_比特幣

“11月12日,Grayscale再次買入7223BTC,使得其持有的比特幣數量突破50萬個,達到506,428個.

1900/1/1 0:00:00
BCH硬分叉:一場實力懸殊的社區割裂_ABC

2018年11月16日,大家對于BCH分叉雙方的算力戰記憶猶新,沒想到,僅過了兩年,BCH又要分叉了。幾天后的11月15日,BitcoinCash按照此前的系統設定將會進行半年一次的硬分叉升級.

1900/1/1 0:00:00
深度 | 數字人民幣概述:屬性、歷程、動因及目標_BDC

摘要 ?數字人民幣屬于基礎貨幣,它的出現將改變我國基礎貨幣結構。數字人民幣自身的定位是部分替代M0,落地后可充當現金使用,但其全新的字符串形態特征不同于以往任何形式的基礎貨幣,所以數字人民幣的出.

1900/1/1 0:00:00
Square Q3報告:Cash App比特幣銷售額達16.3億美元_SQUA

摘要: Square表示,該公司在2020年第三季度通過CashApp售出了16.3億美元的比特幣。根據該公司第三季度的數據顯示,該期間的毛利潤為3200萬美元.

1900/1/1 0:00:00
ads