编者按:本文来自巴比特资讯,作者:rekt,编译:洒脱喜,星球日报经授权发布。注:本周六,DeFi协议PickleFinance因其Jar策略中存在的漏洞,而被黑客盗走了2000万美元,此后,由Rekt、StakeCapital团队成员、samczsun等白帽黑客组成的临时小队对Pickle协议内剩余易受攻击的5000万美元用户资金进行了抢救,作者Rekt对这次事件进行了总结。
金融的发酵还在继续,即使是酸黄瓜也有保质期。PickleFinance因为一个假“Picklejar”漏洞而被黑客盗走了1970万DAI。PickleFinance已成为了这次黑客大流行病的最新受害者。然而,这一次,有一些不同...当Twitter上的人们试图接受另一次金融灾难时,Rekt开始了调查。我们联系了StakeCapital团队,他们查看了代码并警告我们其他Picklejar可能面临风险。随后,我们迅速联系了PickleFinance团队,并在SketchCapital成员以及有经验的开发者@samczsun,@emilianobonassi之间建立了一个作战室。在我们进行调查后,很明显,我们看到的是与最近几周的DeFi乐高风格黑客事件非常不同的东西。这不是一次套利。攻击者对Solidity和EVM有着很好的了解,并且可能已经密切关注了一段时间的Yearn代码,因为这个漏洞与一个月前在Yearn中发现的漏洞类似。从本质上说,PickleJar就是YearnyVaults的分叉,这些Jar是由一个名为theController的合约控制的,该合约具有允许用户在Jar之间交换资产的功能。不幸的是,Pickle并没有设置白名单允许哪个Jar使用这个交换功能。黑客制造了一个假的PickleJar,并交换了原Jar中的资金。这是有可能的,因为swapExactJarForJar没有检查“白名单”jar。PickleFinance团队知道他们需要帮助,并非常愿意与其他人合作,以防任何进一步的损害。Pickle曾试图调用“withdrawAll”函数,但这笔交易失败了。这个取款请求需要通过治理DAO,而这存在12个小时的时间锁。只有一个Pickle多重签名组的成员有能力绕过这个时间锁,而当时他们正在睡觉。这意味着管理者无法清空PickleJar,但这并不能保护他们免受另一次黑客攻击。随后,PickleFinance和Curve发出警告,要求用户立即从Pickle中提取资金,然而,潜在易受攻击的Picklejar中还有5000万美元,而白帽团队调查了这一漏洞,并检查了剩余资金的安全性。救援小队要么叫醒睡着的管理员,要么自己抽干这些jar内的资金。
Web3众筹平台Security Token Market获SPiCE VC投资:8月30日消息,Avalanche生态Web3众筹平台Security Token Market(STM)宣布获得SPiCE VC投资,具体投资金额暂未对外披露。据称,STM是Avalanche生态首创的Web3受监管众筹平台,投资者能够利用Avalanche平台并使用自己的钱包地址在区块链上签署智能合约,并选择代币参与众筹投资。(Crowd FundInsider)[2022/8/30 12:56:53]
这个小队必须克服5大挑战:让PickleFinance团队跨多个时区聚集在一起,通过将交易推到12小时时间锁提取资金,以拯救这些资金;让成千上万的投资者提出他们的资金;对其他jar进行安全检查,看看是否有可能发生更多攻击;在任何人再次攻击这些jar之前,复制这种攻击,将资金转移出来;在试图挽救剩余的5000万美元资金时,避免被抢先交易;我们还能继续依赖伪匿名白帽黑客的帮助多久?显然,与保护者相比,攻击者的动机更为一致,那白帽黑客为什么要协调这样一次艰苦的反击?荣誉归白帽,资金却归黑客,这是不可持续的。要让这些白帽变黑,还需要多久时间?分析
PeckShield:Pickle Finance去年11月被盗资金中的1800 ETH通过Tornado Cash完成混币:5月8日消息,据PeckShield监测,DeFi收益聚合协议Pickle Finance被盗资金中的1800ETH在过去10小时内通过Tornado Cash完成混币。2021年11月份,PickleFinance遭受攻击者通过伪造jar窃取资金,攻击者部署了与原界面相同的伪造jar,并在伪造jar和真正的cDAIjar之间交换了资金,偷走了价值2000万美元的存款。[2022/5/8 2:58:25]
通过发布这些技术信息,我们意识到我们可能会引发新的黑客攻击。我们与PickleFinance及其他开发人员讨论了潜在的后果,并确认我们不知道Pickle的任何运营分叉可能会受到模仿攻击的影响。选择性披露会带来责任的一个方面,所以我们决定自由发布这些信息。如果有任何协议在运行Pickle的代码分叉,他们应该要意识到正在发生的事件,并采取预防措施来防止黑客模仿者。下面的图表是由@vasa_develop创建的。
外媒:Yearn Finance合并Pickle或为垄断人才:11月29日消息,高级开发人员Banteg发推表示,尽管Cronje的博客文章将Yearn 和Pickle的工作描述为“合并”,但Pickle公告是“开发人员合作”,并且Yearn Twitter官方帐户将其描述为“共生关系”。 分析师Tyler Reynolds表示,激励、培训和引入新开发人员已成为该协议的优先事项,挖走有才华的开发人员和垄断人才是Yearn的直接举措。(cointelegraph)[2020/11/29 22:29:39]
原始文件可以在这里找到。关于更多详情,请参阅此处官方的调查报告。看看相对较新的保险协议CoverProtocol如何处理这一事件是有趣的,这对他们的第一笔索赔来说是一笔巨大的金额。你可以在这里找到保险索赔的快照投票。
Pickle Finance已部署PIP-17提案调整奖励比例:Pickle Finance官方刚刚发推宣布,已实施部署PIP-17提案调整奖励比例。PIP-17提案于昨日获批,具体内容为:PICKLE-ETH LP奖励比例将从70%降至65%,prenBTCCRV奖励比例从5%提升到8%,pDAI奖励比例从4%提升到6%。[2020/11/12 12:22:48]
腌渍酸黄瓜是一个缓慢的过程。几十年来,“敏捷开发”的倡导者一直在告诉开发人员,要快速行动,迅速失败,并发布最小的可行产品。这些想法不适合在敌对环境中建设。在DeFi中迅速失败是要付出巨大代价的。我们不需要另一种方法,我们需要一个范式转换,允许快速迭代,同时减少被攻击的可能性。我们不要再认为“拥有审计就拥有了安全的保证”,在大多数情况下,它是应用于移动目标的检查表式安全措施的快照,这些目标通常在项目进入主网后不久就演变成了其他东西。MixBytes和Haechi的审计是在添加ControllerV4之前完成的,而ControllerV4是这次攻击的关键向量之一。未来金融界最伟大的团队,将是那些能够在快速迭代和安全迭代之间进行权衡的团队,其能够定期对其可组合的货币机器人进行持续审计和严格测试。审计应该是一个定期的、持续的过程,而不是在启动前打勾。新的DeFi协议会不断变化和适应,而安全审计应反映这一点。毕竟,腌黄瓜只有在罐子里才能保持新鲜...
稳定币USDC发行方Circle近日宣,首次与美国政府合作,使用锚定美元的稳定币USDC绕过委内瑞拉现任总统尼古拉斯·马杜罗,支持反对派胡安·瓜伊多.
1900/1/1 0:00:00编者按:本文来自WebX实验室Daily,Odaily星球日报经授权转载。对于一个叙事极为宏大、内容极为丰富、内涵弹性极大的概念,Web3.0的定义和特征始终处在高速的动态变化中,而WebX试验.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,星球日报经授权发布。受上周感恩节假期影响,CFTC最新一期的CME比特币期货周报延后至本周一发布,统计周期内BTC再度取得了约2000美元的可观涨幅,并迅.
1900/1/1 0:00:00编者按:本文来自小吒闲谈,Odaily星球日报经授权转载。今天来说一说AMPL,一个算法稳定币.
1900/1/1 0:00:00编者按:本文来自IOSG,Odaily星球日报经授权转载。什么是矿工可提取价值?MEV,是指“矿工可以直接从智能合约中提取作为利润的价值”.
1900/1/1 0:00:00编者按:本文来自知矿大学,Odaily星球日报经授权转载。11月26日下午,去中心化借贷平台Compound遭遇黑客攻击,价值约9千万美元的加密资产被系统强制清算.
1900/1/1 0:00:00