以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > Coinw > Info

Pickle Finance被盜2000萬美元的啟示_ICK:quick幣怎么樣

Author:

Time:1900/1/1 0:00:00

編者按:本文來自巴比特資訊,作者:rekt,編譯:灑脫喜,星球日報經授權發布。注:本周六,DeFi協議PickleFinance因其Jar策略中存在的漏洞,而被黑客盜走了2000萬美元,此后,由Rekt、StakeCapital團隊成員、samczsun等白帽黑客組成的臨時小隊對Pickle協議內剩余易受攻擊的5000萬美元用戶資金進行了搶救,作者Rekt對這次事件進行了總結。

金融的發酵還在繼續,即使是酸黃瓜也有保質期。PickleFinance因為一個假“Picklejar”漏洞而被黑客盜走了1970萬DAI。PickleFinance已成為了這次黑客大流行病的最新受害者。然而,這一次,有一些不同...當Twitter上的人們試圖接受另一次金融災難時,Rekt開始了調查。我們聯系了StakeCapital團隊,他們查看了代碼并警告我們其他Picklejar可能面臨風險。隨后,我們迅速聯系了PickleFinance團隊,并在SketchCapital成員以及有經驗的開發者@samczsun,@emilianobonassi之間建立了一個作戰室。在我們進行調查后,很明顯,我們看到的是與最近幾周的DeFi樂高風格黑客事件非常不同的東西。這不是一次套利。攻擊者對Solidity和EVM有著很好的了解,并且可能已經密切關注了一段時間的Yearn代碼,因為這個漏洞與一個月前在Yearn中發現的漏洞類似。從本質上說,PickleJar就是YearnyVaults的分叉,這些Jar是由一個名為theController的合約控制的,該合約具有允許用戶在Jar之間交換資產的功能。不幸的是,Pickle并沒有設置白名單允許哪個Jar使用這個交換功能。黑客制造了一個假的PickleJar,并交換了原Jar中的資金。這是有可能的,因為swapExactJarForJar沒有檢查“白名單”jar。PickleFinance團隊知道他們需要幫助,并非常愿意與其他人合作,以防任何進一步的損害。Pickle曾試圖調用“withdrawAll”函數,但這筆交易失敗了。這個取款請求需要通過治理DAO,而這存在12個小時的時間鎖。只有一個Pickle多重簽名組的成員有能力繞過這個時間鎖,而當時他們正在睡覺。這意味著管理者無法清空PickleJar,但這并不能保護他們免受另一次黑客攻擊。隨后,PickleFinance和Curve發出警告,要求用戶立即從Pickle中提取資金,然而,潛在易受攻擊的Picklejar中還有5000萬美元,而白帽團隊調查了這一漏洞,并檢查了剩余資金的安全性。救援小隊要么叫醒睡著的管理員,要么自己抽干這些jar內的資金。

《堡壘之夜》開發商Epic Games游戲商店上線首款NFT游戲:9月15日消息,區塊鏈版“糖豆人”游戲Blankos Block Party在Epic Games Store上推出,成為該游戲市場上發布的第一個Web3游戲。

據悉,Blankos Block Party是區塊鏈游戲公司Mythical Games制作的大型多人在線角色扮演游戲(MMO游戲)。此前2021年11月份,NFT游戲初創公司Mythical Games完成1.5億美元C輪融資,a16z領投。(Decrypt)[2022/9/16 6:59:46]

這個小隊必須克服5大挑戰:讓PickleFinance團隊跨多個時區聚集在一起,通過將交易推到12小時時間鎖提取資金,以拯救這些資金;讓成千上萬的投資者提出他們的資金;對其他jar進行安全檢查,看看是否有可能發生更多攻擊;在任何人再次攻擊這些jar之前,復制這種攻擊,將資金轉移出來;在試圖挽救剩余的5000萬美元資金時,避免被搶先交易;我們還能繼續依賴偽匿名白帽黑客的幫助多久?顯然,與保護者相比,攻擊者的動機更為一致,那白帽黑客為什么要協調這樣一次艱苦的反擊?榮譽歸白帽,資金卻歸黑客,這是不可持續的。要讓這些白帽變黑,還需要多久時間?分析

傳字節50億收購Pico入局VR:8月26日消息,據報道,字節跳動以50億元人民幣收購Pico正式入局VR,目前官方尚未發布確切消息。如屬實,此舉似與2014年Facebook(FB.O)收購Oculus異曲同工。天眼查App顯示,Pico關聯公司北京小鳥看看科技有限公司成立于2015年4月,注冊資本3500萬人民幣,法定代表人為周宏偉,經營范圍包括計算機系統服務;軟件開發;從事互聯網文化活動等。股東信息顯示,該公司由青島小鳥看看科技有限公司全資控股。

此前有社群截圖傳出,字節跳動創始人張一鳴最近在加入了NFT群后透露,公司即將推出NFT計劃。目前,字節跳動官方尚未對此發布相關聲明。[2021/8/26 22:39:30]

通過發布這些技術信息,我們意識到我們可能會引發新的黑客攻擊。我們與PickleFinance及其他開發人員討論了潛在的后果,并確認我們不知道Pickle的任何運營分叉可能會受到模仿攻擊的影響。選擇性披露會帶來責任的一個方面,所以我們決定自由發布這些信息。如果有任何協議在運行Pickle的代碼分叉,他們應該要意識到正在發生的事件,并采取預防措施來防止黑客模仿者。下面的圖表是由@vasa_develop創建的。

WETH將分配給Pickle參與者,取代sCRV:Pickle Finance發推宣布,根據通過的PIP-14提案,WETH將分配給Pickle參與者,取代sCRV。在新的WETH質押合約當中,PICKLE質押參與者將需要取消原有質押并重新質押他們的PICKLE。從Pickle Finance界面上看,雖然目前仍有sCRV質押選項,但是已經表明“不推薦”。[2020/10/29]

原始文件可以在這里找到。關于更多詳情,請參閱此處官方的調查報告。看看相對較新的保險協議CoverProtocol如何處理這一事件是有趣的,這對他們的第一筆索賠來說是一筆巨大的金額。你可以在這里找到保險索賠的快照投票。

幣贏CoinW 將于9月22日16:00上線PICKLE:據官方消息,幣贏CoinW將于9月22日16:00在DeFi專區上線PICKLE/USDT交易對,同時開啟“充值送PICKLE,-0.1%Maker費率”活動。

據悉,PickleFinance讓穩定幣更穩定。黃瓜PICKLE合約采用完全公平的分發制度,沒有風投,沒有預挖,沒有預售。其亮點是讓穩定幣在uniswap上交易滑點更低,促進生態的發展,同時可以防止巨鯨介入。詳情查看原文鏈接。[2020/9/22]

腌漬酸黃瓜是一個緩慢的過程。幾十年來,“敏捷開發”的倡導者一直在告訴開發人員,要快速行動,迅速失敗,并發布最小的可行產品。這些想法不適合在敵對環境中建設。在DeFi中迅速失敗是要付出巨大代價的。我們不需要另一種方法,我們需要一個范式轉換,允許快速迭代,同時減少被攻擊的可能性。我們不要再認為“擁有審計就擁有了安全的保證”,在大多數情況下,它是應用于移動目標的檢查表式安全措施的快照,這些目標通常在項目進入主網后不久就演變成了其他東西。MixBytes和Haechi的審計是在添加ControllerV4之前完成的,而ControllerV4是這次攻擊的關鍵向量之一。未來金融界最偉大的團隊,將是那些能夠在快速迭代和安全迭代之間進行權衡的團隊,其能夠定期對其可組合的貨幣機器人進行持續審計和嚴格測試。審計應該是一個定期的、持續的過程,而不是在啟動前打勾。新的DeFi協議會不斷變化和適應,而安全審計應反映這一點。畢竟,腌黃瓜只有在罐子里才能保持新鮮...

Tags:PICPICKICKPICKLEbitopiclabUniversal Picklequick幣怎么樣pickle幣怎么樣

Coinw
Pickle Finance遭攻擊損失近2000萬美元DAI,未經嚴格審計的DeFi路在何方?_PICK:MIDAI

這一周,“科學家”們很忙。11月14日,黑客攻擊ValueDeFi的MultiStablesVault池子,獲得近740萬美金的DAI;11月17日,黑客攻擊OriginProtocol憑空鑄造.

1900/1/1 0:00:00
比特幣大跌原因分析:特朗普政府最后時刻要“下手”?_加密貨幣:加密貨幣市場規模多大

編者按:本文來自華爾街見聞,作者:于旭東,Odaily星球日報經授權轉載。周三晚間,Coinbase首席執行官BrianArmstrong抨擊了美國財政部傳聞中的一項計劃,該計劃試圖跟蹤加密貨幣.

1900/1/1 0:00:00
簡說美國經濟:經濟周期和消費主義_ITS:BITSG幣

為美國大選操心的不僅僅是美國民眾,還有各國熱心吃瓜群眾。作為一個內部如此割裂的世界第一強國,下一任總統的確定會長遠的影響著世界和經濟局勢.

1900/1/1 0:00:00
分析師:比特幣的關鍵支撐位是17214美元,接下來可能會盤整數周_PLAN:比特幣價格美元行情

編者按:本文來自Cointelegraph中文,作者:JOSEPHYOUNG,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
富達:人們對比特幣有這些最常見誤解,我們來一一回應_RIA:BHU

編者按:本文來自鏈聞ChainNews,撰文:RiaBhutoria,富達數字資產研究總監,編譯:PerryWang,星球日報經授權發布。圍繞比特幣仍不少批評和誤解,在此讓我們回顧并回應.

1900/1/1 0:00:00
比特幣巨鯨灰度及其背后的加密投資基金行業_INTU:INT

編者按:本文來自01區塊鏈,作者:雨林,Odaily星球日報經授權轉載。11月27日,灰度首席執行官BarrySilbert在推特發了一條簡短的推文“Okay,itistime”,隨后引起市場熱.

1900/1/1 0:00:00
ads