币非凡 - 区块链|交易所导航 www.bifeifan.com
当前位置:网站首页 > 新闻 > 正文

Pickle Finance被盗2000万美元的启示

admin 2020-11-23 1852 浏览

注:本周六,DeFi协议Pickle Finance因其Jar策略中存在的漏洞,而被黑客盗走了2000万美元,此后,由Rekt、Stake Capital 团队成员、samczsun等白帽黑客组成的临时小队对Pickle协议内剩余易受攻击的5000万美元用户资金进行了抢救,作者Rekt对这次事件进行了总结。

Pickle Finance被盗2000万美元的启示 万美元 Pickle Finance 启示 Fujinto杠杆平台 Fujinto Fujinto虚拟币是真是假 新闻  第1张

金融的发酵还在继续,即使是酸黄瓜也有保质期。

Pickle Finance因一个涉及假“Pickle jar”漏洞而被黑客盗走了1970万DAI。

Pickle Finance已成为了这次黑客大流行病的最新受害者。

然而,这一次,有一些不同...

当Twitter上的人们试图接受另一次金融灾难时,Rekt 开始了调查。

我们联系了Stake Capital 团队,他们查看了代码并警告我们其他Pickle jar可能面临风险

随后,我们迅速联系了Pickle Finance团队,并在Sketch Capital(@bneiluj,@vasa_developer)成员以及有经验的开发者@samczsun,@emilianobonassi之间建立了一个作战室。

在我们进行调查后,很明显,我们看到的是与最近几周的DeFi乐高风格黑客事件非常不同的东西。

这不是一次套利

攻击者对Solidity和EVM有着很好的了解,并且可能已经密切关注了一段时间的Yearn代码,因为这个漏洞与一个月前在Yearn中发现的漏洞类似。

从本质上说,Pickle Jar就是Yearn yVaults的分叉,这些Jar是由一个名为the Controller的合约控制的,该合约具有允许用户在Jar之间交换资产的功能。

不幸的是,Pickle并没有设置白名单允许哪个Jar使用这个交换功能。

黑客制造了一个假的Pickle Jar,并交换了原Jar中的资金。这是有可能的,因为swapExactJarForJar没有检查“白名单”jar。

Pickle Finance团队知道他们需要帮助,并非常愿意与其他人合作,以防任何进一步的损害。

Pickle曾试图调用“withdrawAll”函数,但这笔交易失败了。

这个取款请求需要通过治理DAO,而这存在12个小时的时间锁(timelock)。

只有一个Pickle多重签名组的成员有能力绕过这个时间锁,而当时他们正在睡觉。

这意味着管理者无法清空Pickle Jar,但这并不能保护他们免受另一次黑客攻击。

随后,Pickle Finance和Curve发出警告,要求用户立即从Pickle中提取资金,然而,潜在易受攻击的Pickle jar中还有5000万美元,而白帽团队调查了这一漏洞,并检查了剩余资金的安全性。

救援小队要么叫醒睡着的管理员,要么自己抽干这些jar内的资金。

Pickle Finance被盗2000万美元的启示 万美元 Pickle Finance 启示 Fujinto杠杆平台 Fujinto Fujinto虚拟币是真是假 新闻  第2张

这个小队必须克服5大挑战:

  1. 让Pickle Finance团队跨多个时区聚集在一起,通过将交易推到12小时时间锁(通过6个多重签名中的3个)提取资金,以拯救这些资金;

  2. 让成千上万的投资者提出他们的资金(并阻止他们在资金池TVL下降和APY膨胀到1000%以上时再进行再投资);

  3. 对其他jar进行安全检查,看看是否有可能发生更多攻击;

  4. 在任何人再次攻击这些jar之前,复制这种攻击,将资金转移出来;

  5. 在试图挽救剩余的5000万美元资金时,避免被抢先交易;

我们还能继续依赖伪匿名白帽黑客的帮助多久?

显然,与保护者相比,攻击者的动机更为一致,那白帽黑客为什么要协调这样一次艰苦的反击?

荣誉归白帽,资金却归黑客,这是不可持续的

要让这些白帽变黑,还需要多久时间?

分析

通过发布这些技术信息,我们意识到我们可能会引发新的黑客攻击。我们与Pickle Finance及其他开发人员讨论了潜在的后果,并确认我们不知道Pickle的任何运营分叉可能会受到模仿攻击的影响。

选择性披露会带来责任的一个方面,所以我们决定自由发布这些信息。如果有任何协议在运行Pickle的代码分叉,他们应该要意识到正在发生的事件,并采取预防措施来防止黑客模仿者。

下面的图表是由@vasa_develop创建的。

Pickle Finance被盗2000万美元的启示 万美元 Pickle Finance 启示 Fujinto杠杆平台 Fujinto Fujinto虚拟币是真是假 新闻  第3张

原始文件可以在这里找到。

关于更多详情,请参阅此处官方的调查报告

看看相对较新的保险协议Cover Protocol如何处理这一事件是有趣的,这对他们的第一笔索赔来说是一笔巨大的金额。你可以在这里找到保险索赔的快照投票。

Pickle Finance被盗2000万美元的启示 万美元 Pickle Finance 启示 Fujinto杠杆平台 Fujinto Fujinto虚拟币是真是假 新闻  第4张

腌渍酸黄瓜是一个缓慢的过程。

几十年来,“敏捷开发”的倡导者一直在告诉开发人员,要快速行动,迅速失败,并发布最小的可行产品。

这些想法不适合在敌对环境中建设。

在DeFi中迅速失败是要付出巨大代价的

我们不需要另一种方法,我们需要一个范式转换,允许快速迭代,同时减少被攻击的可能性。

我们不要再认为“拥有审计就拥有了安全的保证”,在大多数情况下,它是应用于移动目标的检查表式安全措施的快照,这些目标通常在项目进入主网后不久就演变成了其他东西。

MixBytes(10月3日)和Haechi(10月20日)的审计是在添加ControllerV4(10月23日)之前完成的,而ControllerV4是这次攻击的关键向量之一。

未来金融界最伟大的团队,将是那些能够在快速迭代和安全迭代之间进行权衡的团队,其能够定期对其可组合的货币机器人进行持续审计和严格测试

审计应该是一个定期的、持续的过程,而不是在启动前打勾。新的DeFi协议会不断变化和适应,而安全审计应反映这一点。

毕竟,腌黄瓜只有在罐子里才能保持新鲜...

相关推荐

2020DeFi行业研究:新旧项目的两大发力方向

...

选举困境:把数据放在区块链上就OK了吗?

...

研究 | 隐私之战,区块链赛道谁最能打?

...

观点丨为什么不存在 "Ethereum杀手"?
观点丨为什么不存在 "Ethereum杀手"?

作者 | EricOlszewskiEthereum 社区一直坚持在前沿和冒险的道路上发展。事实上,我们大多数人都同意这样的观点:如果有更好的平台出现,我们会...

8小时前 admin

火星独家 | 2个关键点读懂从以太坊1.0到2.0的大迁徙

...

比特币暴涨,那个定投两年半的玩家终于赚钱了

...

一文读懂 NFT 的发展史

...

牛市里猜顶,唯有神仙能做到

狂人说比特币隔夜再创本轮反弹的新高,距离历史新高仅一步之遥,狂人看了眼K线,再次走出了17年牛市顶峰的K线形态,但是从情绪看,似乎仍未见顶,因为增量资金并没有出现枯竭,相反有愈演愈烈的趋势,不过短期有...

OKEx晚报:谷歌趋势“以太坊”搜索量达2018年初以来最高水平
OKEx晚报:谷歌趋势“以太坊”搜索量达2018年初以来最高水平

OKEx晚报将在每日晚间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解当日动态消息,更好的握把每日行情。行情速递11月25日讯,BTC今日整...

8小时前 admin

Coinbase被叫停保证金交易
Coinbase被叫停保证金交易

/01/基本面分析11月25日,根据美国商品期货交易委员会(CFTC)的最新规定,CoinbasePro计划从太平洋时间11月25日14:00(北京时间11月...

8小时前 admin

Coin Metrics丨此次 BTC 上涨的原因是什么?
  • Coin Metrics丨此次 BTC 上涨的原因是什么?
  • Coin Metrics丨此次 BTC 上涨的原因是什么?
  • Coin Metrics丨此次 BTC 上涨的原因是什么?
  • Coin Metrics丨此次 BTC 上涨的原因是什么?
DeFi 中的下一代自动化做市商将向何处发展?
  • DeFi 中的下一代自动化做市商将向何处发展?
  • DeFi 中的下一代自动化做市商将向何处发展?
  • DeFi 中的下一代自动化做市商将向何处发展?
  • DeFi 中的下一代自动化做市商将向何处发展?
灰度休息,短线继续调整
灰度休息,短线继续调整

Coinbase迫于政策压力选择停止保证金交易,另外还宣布将不再使用表格1099-K向国税局报告其用户的加密货币活动。目前还不清楚这一消息是否对市场造成影响,有...

8小时前 admin

以太坊2.0信标链启动,后期是否会爆发?
以太坊2.0信标链启动,后期是否会爆发?

6天前(11月19日13时),ETH2.0信标链的质押合约中存入的ETH还只占总目标(524288ETH)的19.58%。此时距离信标链存款合约地址的发布已经过...

8小时前 admin

巴比特原创 | 哈哈哈哈,气势如虹!比特币、美股双双创新高,后市怎么走?

...