這一周,“科學家”們很忙。11月14日,黑客攻擊ValueDeFi的MultiStablesVault池子,獲得近740萬美金的DAI;11月17日,黑客攻擊OriginProtocol憑空鑄造2050萬枚OUSD。
昨日凌晨2時37分,當人們還在熟睡之時,黑客攻擊DeFi協議PickleFinance,撈得近2000萬美元的DAI。
加密貨幣再次登上央視DeFi淪為“科學家”的提款機?
11月18日,比特幣沖擊18,000美元,加密貨幣再次登上央視,此前,加密貨幣被譽為去中心化的金融工具首次登上央視。
南非超市巨頭Pick n Pay已在其所有門店接受比特幣支付:金色財經報道,南非最大的連鎖超市之一Pick n Pay已開始在其所有1628家門店接受比特幣閃電網絡付款。
此前報道,去年11月,Pick n Pay表示已接受閃電網絡付款。客戶可通過比特幣在全國39家商店中進行支付。[2023/2/2 11:42:00]
據央視報道,從投資回報率的角度來看,加密貨幣是今年真正的“頭號”投資產品。“彭博銀河加密貨幣指數”上漲約65%,超過金價逾20%的漲幅,也超過全球股市、債市和大宗商品市場的收益率。漲幅較高的一個關鍵原因是以太坊幣價暴漲,漲幅達到169.40%。
央視解釋道:“以太坊幣價格攀升得益于去中心化金融工具的使用增加,以及疫情肆虐后各國出臺的巨額刺激措施,讓投資者選擇了比特幣、以太坊等加密貨幣進行保值。”
一方面,加密貨幣市場頻頻發出利好消息;另一方面,DeFi項目因未經嚴格審計頻遭攻擊。
北京冬奧會官方授權手游《Olympic Games Jam: Beijing 2022》在Flow鏈上發行:2月8日消息,Animoca Brands子公司nWay與國際奧委會合作推出的多人手機游戲《Olympic Games Jam: Beijing 2022》現已支持Android并即將支持IOS應用程序,玩家可以使用nWayPlay ID登錄,無需連接錢包。
玩家可以參加一系列街機風格的冬季運動,在爭奪金牌的過程中贏取國際奧委會官方授權NFT數字徽章。該游戲基于Flow鏈構建,允許玩家使用信用卡支付游戲內道具,并將贏得的代幣和NFT轉至外部錢包和各個DEX。[2022/2/8 9:38:00]
據悉,今年9月10日酸黃瓜PickleFinance啟動流動性挖礦,9月14日V神發推文贊賞該項目,使其代幣價格暴漲10倍。而遭到此次攻擊后,酸黃瓜損失近價值2000萬的DAI,同時24小時內其代幣腰斬。
Pickle團隊新增3名成員 希望再增加一名開發人員:Pickle Finance發推表示,Pickle團隊新增3名成員(原共5人),擴大150%。Pickle表示,還想擴展Pickle的技術能力,并在團隊中增加一名開發人員。[2021/1/31 18:30:59]
CoinmarketCap數據顯示,PickleFinance代幣的價格在24小時內,從22.7美元跌到10.2美元,它的市值在未銷毀的情況下,24小時內蒸發了1220萬美元。
發生了什么?
PeckShield通過追蹤和分析發現,攻擊者通過StrategyCmpdDaiV2.getSuppliedUnleveraged()函數查詢資產余額1972萬美元;隨后,攻擊者利用輸入驗證漏洞將StrategyCmpdDaiV2中的所有DAI提取到PickleJar:這個漏洞位于ControllerV4.swapExactJarForJar()函數中,其中包含兩個既定的偽Jar。在未驗證既定Jar的情況下,此步驟會將存入的所有DAI提取到PickleJar,并進行下一輪部署。接下來,攻擊者調用earn()函數將提取的DAI部署到StrategyCmpdDaiV2中。在內部緩沖區管理中,黑客調用了三次earn()函數,在StrategyCmpdDaiV2中生成共計950,818,864.8211968枚cDAI;第一次調用earn()函數存入1976萬枚DAI,鑄造903,390,845.43581639枚cDAI;第二次調用earn()函數存入98.8萬枚DAI,鑄造45,169,542.27179081枚cDAI;第3次調用earn()函數存入4.9萬枚DAI,鑄造2,258,477.11358954枚cDAI;
Pickle Finance表示PIP-20以77%支持率通過:Pickle Finance發推稱,關于承認Pickle的社區貢獻的提案PIP-20以77%的支持率通過。[2020/11/18 21:13:45]
隨后,攻擊者調用ControllerV4.swapExactJarForJar()函數,利用任意代碼執行將StrategyCmpdDaiV2中的所有cDAI提取出來,這一步中,_execute()函數有兩個參數:_target和_data,_target指的是目標地址,即圖中橘色所示部分;_target是一個加白的地址,攻擊者沒辦法任意控制此地址,此處他們利用的是CurveProxyLogic,該加白的合約(能通過262行approvedJarConverter的檢查。也就是說,能被完全控制的是參數_data,即圖中紫色所示部分,_data中包含_execute()函數可調用的add_liquidity()函數,以及傳給add_liquidity()的所有參數。
Pickle協議發生程序問題 官方提醒暫時不要提幣:9月30日早間,Pickle Finance官方發推稱,Pickle協議PIP-8遷移未同步進行產生問題,在區塊10958758高度前在代幣池進行提款的用戶受到影響。官方聲明稱:
1.Pickle協議上的其他函數未受影響,所發生的問題不是智能合約的問題,只是程序問題;
2.錯誤致使系統將提現金額計算產生誤差,但代幣仍在PickleJar(代幣池)中,沒有丟失;
3.官方將收回資金,并將應得資金余額返回給提款的人;
4.由于受到12小時時間鎖的限制,在12小時內官方不能采取任何有效措施,
5.官方將在區塊10959175處進行快照,以確定獲得補償的用戶。與此同時,官方將不能補償在此區塊之后提款的用戶。
6.用戶需克制不要將代幣從代幣池中提出,直到官方發布通知。[2020/9/30]
此時,咱們回到橘色框里的curve、curveFunctionSig、curvePoolSize、curveUnderlyingIndex、underlying,其中curve是一個地址,它表示橘色框里倒數第二行中的curve.call()函數可以執行任意一個合約,因此,攻擊者把curve設置成StrategyCmpdDaiV2,curveFunctionSig表示除了剛剛指定合約外,還可以指定要調用此合約的函數,通過此操作攻擊者成功調用StrategyCmpdDaiV2.withdraw()函數。
接下來就是組織藍色框中的函數StrategyCmpdDaiV2.withdraw()的參數_asset,藍色框中的_asset實際上是橘色框框里的liquidity,liquidity由傳入函數add_liquidity()的underlying得來,underlying是另一個偽造的合約地址,它的balanceOf()函數會返回cDAI的地址。攻擊者將cDAI的地址設置成liquidity,然后,liquidity被打包到callData里再傳給withdraw()函數,使得withdraw()函數取出的_asset就是cDAI的地址。值得注意的是,如果want==_asset,藍色框里的函數就不執行,此設計的目的在于want是不允許被取出的,所以攻擊者刻意取出對應的cDAI。
最后,執行回ControllerV4.swapExactJarForJar()函數,所提取的cDAI被存入惡意的_toJar.在_toJar.deposit()函數里,所有950,818,864.8211968枚cDAI立即轉入黑客地址。
未經嚴格審計的DeFi能走多遠?
針對此次PickleFinance被攻擊事件,其審計公司Haechi發推文稱,今年10月對其代碼進行了一次審計,但是攻擊者利用的漏洞發生在新創建的智能合約中,而不是接受安全審計的智能合約中。與此次漏洞攻擊相關的代碼存在于controller-v4.sol中的swapExactJarForJar,而非此前審計的controller-v3.sol中,該智能合約不包含swapExactJarForJar。
對此,PeckShield相關負責人表示:“有一些DeFi項目在做過第一次智能合約安全審計后,可能會為了快速上線主網,省略審計新增的智能合約,這種省略或能爭取短時的利益,但就像此次攻擊一樣最終因小失大。DeFi們在上線之前一定要確保代碼進行徹底地審計和研究,防范各種可能發生的風險。”
未經嚴格審計即上線的DeFi項目能走多遠?
注:本文最初于2014年4月17日發布在gavofyork的博客「InsightsintoaModernWorld」上,那時Gavin還在擔任以太坊的聯合創始人和CTO.
1900/1/1 0:00:00本周,圈內圈外的吃瓜群眾們忙的不亦樂乎,從周初的馬云被約談、螞蟻金服上市被叫停,到之后的川普在美國大選中遭遇逆轉但又繼續大放厥詞,更重要的是,市值最大的加密貨幣比特幣突破15000美元阻力位.
1900/1/1 0:00:0010月21日,上海證券交易所旗下上證所信息網絡有限公司正式發布上證鏈,面向市場提供「云鏈一體化」的基礎技術設施,為證券行業的區塊鏈應用創新提供支持和服務.
1900/1/1 0:00:00周四上午,去中心化金融協議Akropolis因一個漏洞損失了200萬美元的DAI。根據Akropolis團隊的最新消息,他們正在撰寫時間分析報告,同時該團隊正在探索補償受影響的用戶的方法.
1900/1/1 0:00:00前天晚上12點左右,以太坊測試網的開發者宣布,ETH2.0的發布日期定在了12月1日,主網的存款合約地址也正式生效。對于這則消息,V神也表示確認.
1900/1/1 0:00:00Web3.0這個概念,各位讀者可能都聽說過,不過很少有人能清晰明確地講出來——什么是Web3.0.
1900/1/1 0:00:00