Pickle Finance被盜2000萬美元的啟示_PIC:Universal Pickle

注：本周六，DeFi協議PickleFinance因其Jar策略中存在的漏洞，而被黑客盜走了2000萬美元，此后，由Rekt、StakeCapital團隊成員、samczsun等白帽黑客組成的臨時小隊對Pickle協議內剩余易受攻擊的5000萬美元用戶資金進行了搶救，作者Rekt對這次事件進行了總結。

金融的發酵還在繼續，即使是酸黃瓜也有保質期。

PickleFinance因一個涉及假“Picklejar”漏洞而被黑客盜走了1970萬DAI。

PickleFinance已成為了這次黑客大流行病的最新受害者。

Epic Games CEO：蘋果必須停止對NFT交易收取30%的傭金:9月27日消息，Epic Games首席執行官Tim Sweeney在社交媒體發文表示，蘋果公司正在扼殺所有無法征稅NFT應用業務，摧毀另一項可能與其定價過高的應用內支付服務相抗衡的新興技術。蘋果必須停止繼續這樣做。此前報道，蘋果公司對通過iOS應用程序內的所有NFT交易收取高達30%的標準傭金。[2022/9/27 22:32:00]

然而，這一次，有一些不同...

當Twitter上的人們試圖接受另一次金融災難時，Rekt開始了調查。

我們聯系了StakeCapital團隊，他們查看了代碼并警告我們其他Picklejar可能面臨風險。

隨后，我們迅速聯系了PickleFinance團隊，并在SketchCapital成員以及有經驗的開發者@samczsun，@emilianobonassi之間建立了一個作戰室。

游戲巨頭Epic Games為專注于元宇宙而關閉社交視頻應用Houseparty:9月10日消息，游戲巨頭Epic Games將于10月關閉旗下熱門社交視頻應用Houseparty，并將吸收后者團隊，致力于“創造新的方式，在整個Epic Games家族中以元宇宙的規模進行有意義的、真正的社交互動。”據悉，Epic Games在2019年以3500萬美元收購了Houseparty。去年，Houseparty已被整合進Epic Game的旗艦游戲《堡壘之夜》中，允許用戶在玩游戲時進行視頻聊天。今年早些時候，Epic Games完成10億美元融資，以支持構建元宇宙的愿景。（華爾街日報）[2021/9/10 23:14:57]

在我們進行調查后，很明顯，我們看到的是與最近幾周的DeFi樂高風格黑客事件非常不同的東西。

ePIC籌集750萬美元用于在北美制造ASIC加密礦機:總部位于多倫多的ePIC Blockchain 完成了750萬美元的A輪融資，將用于在北美制造ASIC加密礦機。ePIC首席執行官Henry Quan表示：“北美在許多芯片技術方面都表現出色，因此沒有理由在北美地區不應該在區塊鏈ASIC設計和制造方面表現出色。” “供應不足。新進入者無法進入并獲得技術，因此它使很多參與者無法參與。”（CoinDesk）[2021/4/15 20:20:58]

這不是一次套利。

攻擊者對Solidity和EVM有著很好的了解，并且可能已經密切關注了一段時間的Yearn代碼，因為這個漏洞與一個月前在Yearn中發現的漏洞類似。

從本質上說，PickleJar就是YearnyVaults的分叉，這些Jar是由一個名為theController的合約控制的，該合約具有允許用戶在Jar之間交換資產的功能。

Pickle Finance因漏洞損失近2000萬美元:11月22日消息，DeFi協議Pickle Finance在周六的一個漏洞中損失了近2000萬美元的DAI。該漏洞利用涉及Pickle Finance的DAI pJar產品，該產品利用Compound協議通過DAI存款來收獲收益。來自該漏洞的資金已被轉移到地址0x70178102AA04C5f0E54315aA958601eC9B7a4E08，該地址就是漏洞當前所在的位置。目前還不清楚此漏洞發生原因。（The Block）[2020/11/22 21:38:42]

不幸的是，Pickle并沒有設置白名單允許哪個Jar使用這個交換功能。

黑客制造了一個假的PickleJar，并交換了原Jar中的資金。這是有可能的，因為swapExactJarForJar沒有檢查“白名單”jar。

動態 | BitPico已開始攻擊BCH網絡:據bitcoinist消息，此前對閃電網絡進行過壓力測試的BitPico已經開始攻擊比特幣現金（BCH）。該組織6月22日起宣稱已經通過協調攻擊測試了閃電網絡主網的實施情況，現在已經開始以相同的方式測試BCH網絡，將實施51％的算力攻擊，并在接下來的幾個月里擴大。BitPico預計在大約6個星期內將有5000個BCH的攻擊節點，然后將進行多重分叉。[2018/6/27]

PickleFinance團隊知道他們需要幫助，并非常愿意與其他人合作，以防任何進一步的損害。

Pickle曾試圖調用“withdrawAll”函數，但這筆交易失敗了。

這個取款請求需要通過治理DAO，而這存在12個小時的時間鎖。

只有一個Pickle多重簽名組的成員有能力繞過這個時間鎖，而當時他們正在睡覺。

這意味著管理者無法清空PickleJar，但這并不能保護他們免受另一次黑客攻擊。

隨后，PickleFinance和Curve發出警告，要求用戶立即從Pickle中提取資金，然而，潛在易受攻擊的Picklejar中還有5000萬美元，而白帽團隊調查了這一漏洞，并檢查了剩余資金的安全性。

救援小隊要么叫醒睡著的管理員，要么自己抽干這些jar內的資金。

這個小隊必須克服5大挑戰：

讓PickleFinance團隊跨多個時區聚集在一起，通過將交易推到12小時時間鎖提取資金，以拯救這些資金；

讓成千上萬的投資者提出他們的資金；

對其他jar進行安全檢查，看看是否有可能發生更多攻擊；

在任何人再次攻擊這些jar之前，復制這種攻擊，將資金轉移出來；

在試圖挽救剩余的5000萬美元資金時，避免被搶先交易；

我們還能繼續依賴偽匿名白帽黑客的幫助多久？

顯然，與保護者相比，攻擊者的動機更為一致，那白帽黑客為什么要協調這樣一次艱苦的反擊？

榮譽歸白帽，資金卻歸黑客，這是不可持續的。

要讓這些白帽變黑，還需要多久時間？

分析

通過發布這些技術信息，我們意識到我們可能會引發新的黑客攻擊。我們與PickleFinance及其他開發人員討論了潛在的后果，并確認我們不知道Pickle的任何運營分叉可能會受到模仿攻擊的影響。

選擇性披露會帶來責任的一個方面，所以我們決定自由發布這些信息。如果有任何協議在運行Pickle的代碼分叉，他們應該要意識到正在發生的事件，并采取預防措施來防止黑客模仿者。

下面的圖表是由@vasa_develop創建的。

原始文件可以在這里找到。

關于更多詳情，請參閱此處官方的調查報告。

看看相對較新的保險協議CoverProtocol如何處理這一事件是有趣的，這對他們的第一筆索賠來說是一筆巨大的金額。你可以在這里找到保險索賠的快照投票。

腌漬酸黃瓜是一個緩慢的過程。

幾十年來，“敏捷開發”的倡導者一直在告訴開發人員，要快速行動，迅速失敗，并發布最小的可行產品。

這些想法不適合在敵對環境中建設。

在DeFi中迅速失敗是要付出巨大代價的。

我們不需要另一種方法，我們需要一個范式轉換，允許快速迭代，同時減少被攻擊的可能性。

我們不要再認為“擁有審計就擁有了安全的保證”，在大多數情況下，它是應用于移動目標的檢查表式安全措施的快照，這些目標通常在項目進入主網后不久就演變成了其他東西。

MixBytes和Haechi的審計是在添加ControllerV4之前完成的，而ControllerV4是這次攻擊的關鍵向量之一。

未來金融界最偉大的團隊，將是那些能夠在快速迭代和安全迭代之間進行權衡的團隊，其能夠定期對其可組合的貨幣機器人進行持續審計和嚴格測試。

審計應該是一個定期的、持續的過程，而不是在啟動前打勾。新的DeFi協議會不斷變化和適應，而安全審計應反映這一點。

畢竟，腌黃瓜只有在罐子里才能保持新鮮...

Tags：PICICKPICKLEPICKEPIC Coinpicklefinancepickle幣未來多少錢一個Universal Pickle

幣安app官方下載最新版