加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > AVAX > Info

慢霧:假錢換真錢 揭秘 Pickle Finace 被黑過程_JAR:DAI

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程

1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI

數據:Azuki 當日交易量達 879.76 ETH,創近 3 個月新高:10月18日消息,據 Dune Analytics 數據,NFT 項目 Azuki 交易量在 10月 17 日達到 879.76 ETH,創近 3 個月以來新高。

今日早些時候,Azuki 發布開源的代幣標準 Physical Backed Token (PBT),支持將現實物品綁定到以太坊區塊鏈上,Azuki 稱此模式為 Scan to Own。[2022/10/18 17:30:51]

2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI,。

過去半小時,全網總計爆倉7613萬美元:7月28日消息,據數據顯示,過去半小時,全網總計爆倉 7613 萬美元,其中 ETH 爆倉 4602 萬美元,BTC 爆倉 1535 萬美元。[2022/7/28 2:42:05]

3.此時發生兌換,Controller合約使用transferFrom函數從?_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI?

Gnosis Safe宣布完成1億美元戰略融資,1kx領投,Tiger Global等參投:7月12日消息,Gnosis Safe宣布完成1億美元戰略融資,1kx領投,Tiger Global、A&T Capital、Blockchain Capital、Digital Currency Group、Greenfield One、Rockaway Blockchain Fund、ParaFi、Lightspeed、Polymorphic Capital、Superscrypt等參投。此外,在社區投票成功從Gnosis分拆后,Gnosis Safe項目正在更名為Safe。[2022/7/13 2:08:56]

4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利

總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造?_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。

來源:金色財經

Tags:JARDAIROMTOKEJared From SubwayDai StablecoinPROME幣ANUBI Token

AVAX
Pickle Finance被攻擊全過程_JAR:TOKEN

2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI.

1900/1/1 0:00:00
盛大公鏈建立全球“區塊鏈+”的多元化應用商業模式_盛大公鏈:ladys幣價值有發展嗎

隨著金融科技的深度應用以及數字化、智能化、開放型服務生態的不斷形成,數字化轉型正在挑戰著公司傳統的組織結構、系統架構、運營模式與人才機制.

1900/1/1 0:00:00
戴衛談幣11.22BTC行情分析 ok解除提幣限制會不會在帶動一波牛市_MAC:ACK

BTC行情分析: 從小時級別圖看,行情目前已經突破了布林帶下軌的支撐在18200附近位置運行,MA各短線指標均是拐頭下行,MACD空頭能量來回放縮,快慢線死叉持續下行,KDJ三線死叉下行發散.

1900/1/1 0:00:00
幣汐柔:11.22比特幣以太坊做單技巧之K線幾種典型形態的解析_CUB:CUBIC價格

  幣汐柔:11.22比特幣以太坊做單技巧之K線幾種典型形態的解析      幣圈交易就必須學會看盤,在上下起伏波動的K線中尋找交易贏利的機會,K線也是聯系投資者和市場的最直觀最有力的工具.

1900/1/1 0:00:00
11-23 比特幣多單布局 完美斬獲365個點位 要盈利 請拿出你的膽識_AIN:Avalanche Hills

在這里沒有百分之百盈利,只是不斷把握趨勢,跟隨趨勢,控制風險。成熟的技術分析,過硬的心理,在幣圈投資中步步為贏。信者自信之.

1900/1/1 0:00:00
DeFIL完成慢霧安全審計 上線僅三天FIL存入量突破60000枚_FIL:DEFI

據最新消息,去中心化借貸平臺DeFIL上線不到三天時間,FIL存入量已經突破60000枚,且數據還在不斷增長中,與市場上同類競品大多鮮少有FIL存入的境況形成鮮明對比.

1900/1/1 0:00:00
ads