PIC:Pickle Finance被盗2000万美元的启示

注：本周六，DeFi协议PickleFinance因其Jar策略中存在的漏洞，而被黑客盗走了2000万美元，此后，由Rekt、StakeCapital团队成员、samczsun等白帽黑客组成的临时小队对Pickle协议内剩余易受攻击的5000万美元用户资金进行了抢救，作者Rekt对这次事件进行了总结。

金融的发酵还在继续，即使是酸黄瓜也有保质期。

PickleFinance因一个涉及假“Picklejar”漏洞而被黑客盗走了1970万DAI。

PickleFinance已成为了这次黑客大流行病的最新受害者。

Immutable旗下游戏Gods Unchained现已在Epic游戏商店上架:6月22日消息，Immutable Games的Web3交易卡牌游戏《Gods Unchained》现已在Epic Games Store上架，这是一款类似于《炉石传说》或《魔法风云对决》的可收集交易卡牌游戏，每张卡牌在以太坊Layer2 Immutable X上都有一个代表性的NFT。

Gods Unchained的执行制作人Daniel Paez认为，登上Epic Games Store是游戏历史上的一个关键时刻，他表示：“很难不高估《Gods Unchained》登陆世界上最大的PC游戏平台之一——Epic Games Store的重要性。我们非常兴奋地将我们的游戏展示给全新的、真正庞大的传统PC游戏玩家和TCG爱好者的观众群。”[2023/6/22 21:53:32]

然而，这一次，有一些不同...

南非超市巨头Pick n Pay接受比特币支付:金色财经报道，南非最大的连锁超市之一Pick n Pay现在允许客户通过任何支持闪电网络的应用程序使用比特币付款。据《泰晤士报》报道，在过去五个月中，这种支付方式在10家商店进行了测试，现已在全国 39 家商店推出。[2022/11/1 12:06:14]

当Twitter上的人们试图接受另一次金融灾难时，Rekt开始了调查。

我们联系了StakeCapital团队，他们查看了代码并警告我们其他Picklejar可能面临风险。

随后，我们迅速联系了PickleFinance团队，并在SketchCapital成员以及有经验的开发者@samczsun，@emilianobonassi之间建立了一个作战室。

在我们进行调查后，很明显，我们看到的是与最近几周的DeFi乐高风格黑客事件非常不同的东西。

Pickle Finance将于12月24日开启五种PICKLE激励池:12月23日，以太坊DeFi项目Pickle Finance官方宣布于SushiSwap上开通五种与以太坊对应的PICKLE激励池，分别为：ETH/DAI、ETH/USDC、ETH/USDT、ETH/WBTC、ETH/YFI。其流动性奖励将于北京时间12月24日02:00开启。[2020/12/23 16:14:53]

这不是一次套利。

攻击者对Solidity和EVM有着很好的了解，并且可能已经密切关注了一段时间的Yearn代码，因为这个漏洞与一个月前在Yearn中发现的漏洞类似。

从本质上说，PickleJar就是YearnyVaults的分叉，这些Jar是由一个名为theController的合约控制的，该合约具有允许用户在Jar之间交换资产的功能。

不幸的是，Pickle并没有设置白名单允许哪个Jar使用这个交换功能。

Pickle协议发生程序问题 官方提醒暂时不要提币:9月30日早间，Pickle Finance官方发推称，Pickle协议PIP-8迁移未同步进行产生问题，在区块10958758高度前在代币池进行提款的用户受到影响。官方声明称：

1.Pickle协议上的其他函数未受影响，所发生的问题不是智能合约的问题，只是程序问题；

2.错误致使系统将提现金额计算产生误差，但代币仍在PickleJar（代币池）中，没有丢失；

3.官方将收回资金，并将应得资金余额返回给提款的人；

4.由于受到12小时时间锁的限制，在12小时内官方不能采取任何有效措施，

5.官方将在区块10959175处进行快照，以确定获得补偿的用户。与此同时，官方将不能补偿在此区块之后提款的用户。

6.用户需克制不要将代币从代币池中提出，直到官方发布通知。[2020/9/30]

黑客制造了一个假的PickleJar，并交换了原Jar中的资金。这是有可能的，因为swapExactJarForJar没有检查“白名单”jar。

动态 | 加密资产投资公司 Picks & Shovels 和 CoinVantage 合并:据blog.picks消息，两家专业的加密资产投资服务公司 Picks & Shovels 和 CoinVantage 宣布合并，押宝机构投资者入场带来的服务商机。Picks & Shovels 是一家为加密资产领域的机构投资者提供专业投资工具的公司，推出了 Interchange 软件平台，可以帮助机构投资者监控和管理加密资产；CoinVantage 此前则是会计事务所 MG Stover & Co 旗下子公司，专业向加密资产投资领域的基金经理和投资者提供包括财务报表、行政管理等中后台支持。两家公司表示，合并后将整合提供加密资产的会计及资产管理工具。[2018/12/23]

PickleFinance团队知道他们需要帮助，并非常愿意与其他人合作，以防任何进一步的损害。

Pickle曾试图调用“withdrawAll”函数，但这笔交易失败了。

这个取款请求需要通过治理DAO，而这存在12个小时的时间锁。

只有一个Pickle多重签名组的成员有能力绕过这个时间锁，而当时他们正在睡觉。

这意味着管理者无法清空PickleJar，但这并不能保护他们免受另一次黑客攻击。

随后，PickleFinance和Curve发出警告，要求用户立即从Pickle中提取资金，然而，潜在易受攻击的Picklejar中还有5000万美元，而白帽团队调查了这一漏洞，并检查了剩余资金的安全性。

救援小队要么叫醒睡着的管理员，要么自己抽干这些jar内的资金。

这个小队必须克服5大挑战：

让PickleFinance团队跨多个时区聚集在一起，通过将交易推到12小时时间锁提取资金，以拯救这些资金；

让成千上万的投资者提出他们的资金；

对其他jar进行安全检查，看看是否有可能发生更多攻击；

在任何人再次攻击这些jar之前，复制这种攻击，将资金转移出来；

在试图挽救剩余的5000万美元资金时，避免被抢先交易；

我们还能继续依赖伪匿名白帽黑客的帮助多久？

显然，与保护者相比，攻击者的动机更为一致，那白帽黑客为什么要协调这样一次艰苦的反击？

荣誉归白帽，资金却归黑客，这是不可持续的。

要让这些白帽变黑，还需要多久时间？

分析

通过发布这些技术信息，我们意识到我们可能会引发新的黑客攻击。我们与PickleFinance及其他开发人员讨论了潜在的后果，并确认我们不知道Pickle的任何运营分叉可能会受到模仿攻击的影响。

选择性披露会带来责任的一个方面，所以我们决定自由发布这些信息。如果有任何协议在运行Pickle的代码分叉，他们应该要意识到正在发生的事件，并采取预防措施来防止黑客模仿者。

下面的图表是由@vasa_develop创建的。

原始文件可以在这里找到。

关于更多详情，请参阅此处官方的调查报告。

看看相对较新的保险协议CoverProtocol如何处理这一事件是有趣的，这对他们的第一笔索赔来说是一笔巨大的金额。你可以在这里找到保险索赔的快照投票。

腌渍酸黄瓜是一个缓慢的过程。

几十年来，“敏捷开发”的倡导者一直在告诉开发人员，要快速行动，迅速失败，并发布最小的可行产品。

这些想法不适合在敌对环境中建设。

在DeFi中迅速失败是要付出巨大代价的。

我们不需要另一种方法，我们需要一个范式转换，允许快速迭代，同时减少被攻击的可能性。

我们不要再认为“拥有审计就拥有了安全的保证”，在大多数情况下，它是应用于移动目标的检查表式安全措施的快照，这些目标通常在项目进入主网后不久就演变成了其他东西。

MixBytes和Haechi的审计是在添加ControllerV4之前完成的，而ControllerV4是这次攻击的关键向量之一。

未来金融界最伟大的团队，将是那些能够在快速迭代和安全迭代之间进行权衡的团队，其能够定期对其可组合的货币机器人进行持续审计和严格测试。

审计应该是一个定期的、持续的过程，而不是在启动前打勾。新的DeFi协议会不断变化和适应，而安全审计应反映这一点。

毕竟，腌黄瓜只有在罐子里才能保持新鲜...

标签：PICICKPICKPICKLESPICE币TICKRNPICKUniversal Pickle

币安币热门资讯