買以太坊 買以太坊
Ctrl+D 買以太坊
ads

CONT:星球前線|DeFi協議Pickle Finance因漏洞損失近2000萬美元_DAI

Author:

Time:1900/1/1 0:00:00

本文來自TheBlock、CointelegraphOdaily星球日報譯者|余順遂

據TheBlock報道,DeFi協議PickleFinance在周六的一個漏洞中損失近2000萬美元的DAI。據悉,該漏洞利用涉及PickleFinance的DAIpJar策略,該策略利用Compound協議通過DAI存款來獲得收益。來自該漏洞的資金已被轉移到地址0x70178102AA04C5f0E54315aA958601eC9B7a4E08。根據Cointelegraph報道,就PickleFinance因漏洞損失近2000萬美元一事,白帽黑客、DeFiItaly聯合創始人EmilianoBonassi表示,攻擊者部署了“邪惡Jar”,這是一種具有傳統Jar的相同界面、但是卻作惡的智能合約。隨后,攻擊者在他的“邪惡Jar”和真正的cDAIJar之間交換了資金,偷走價值2000萬美元的存款。

香飄飄奶茶官宣發布“理想星球開拓者”NFT 數字藏品:1 月 11 日,香飄飄推出“香飄飄理想星球開拓者” 數字藏品,香飄飄以No.85奶茶星空探索隊為主角,設置了真香密碼、快樂起飛、反EMO、茶享自由等8個不同的理想星球場景。每個星球對應SSR、SR、R三個不同等級的數字藏品。

同時,香飄飄還結合時下備受追捧的盲盒玩法,一定程度上激發了年輕消費者的收藏欲:每款生椰菠菠椰乳茶“85度暖冬禮盒”中,都有一張“香飄飄理想星球開拓者”邀請卡,根據卡片提示,可隨機獲取一款數字藏品,開拓屬于自己的“理想星球”。[2022/1/11 8:41:06]

官方回應:鼓勵LP從Jar中提取資金,直到問題解決

11月22日,PickleFinance發推稱,有報道說我們的DAIPickleJar策略已被利用。我們正在積極調查此事,并將提供進一步的更新。我們鼓勵所有LP從Jar中提取資金,直到問題得到解決。具體操作如下:

聲音 | 二三四五:“2345章魚星球”是基于區塊鏈技術的高性能云盤:二三四五28日在互動平臺上回復投資者提問時介紹,“2345章魚星球”是基于區塊鏈技術的高性能云盤,能夠接收用戶行為數據、發布生態任務,具有CDN加速、云存儲、分布式處理、分布式數據挖掘等云計算功能。[2018/9/28]

1)從農場解押:訪問https://vfat.tools/pickle/,連接您的錢包。向下滾動找到您的農場,然后單擊UNSTAKE。這也將申領您的Pickle獎勵。您現在必須從您的Jar里解押。2)從Jar取款:訪問https://github.com/pickle-finance/contracts#pickle-jars-pjars,找到您的Jar,然后單擊“PickleJar”列表下的藍色鏈接。

2345章魚星球眾籌金額已完成目標金額的670%:京東眾籌平臺最新數據顯示,2345章魚星球眾籌金額逼近6700萬元,完成目標金額的670%。[2018/5/18]

3)在代表Jar的Etherscan頁面上,單擊CONTRACT->WRITECONTRACT->CONNECTTOWEB3。您會看到一個彈出框。點擊“OK”。如果它不能連接,再次點擊“CONNECTTOWEB3”,然后就會連接。4)進入Option15,點擊藍色按鈕“WRITE”。然后像平常一樣完成您的Metamask交易。5)對所有需要提取資金的Jar重復這個過程。后續更新

22日下午,慢霧安全團隊表示第一時間跟進了相關事件并進行分析,以下為分析簡略過程:1.項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的Jar合約地址進行代幣的兌換,其中的_fromJar、_toJar、_fromJarAmount、_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI。2.使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI。3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI。4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利。總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。此外,針對PickleFinance攻擊事件,審計公司Haechi澄清稱,我們10月進行了一次審計,但是攻擊者利用的漏洞發生在新創建的智能合約中,而不是接受安全審計的智能合約中。與此次漏洞攻擊相關的代碼是“controller-v4.sol”中的“swapExactJarForJar”;而此前的安全審計是針對“controller-v3.sol”,不包含“swapExactJarForJar”。在不久的將來,Haechi將發表關于PickleFinance攻擊事件的分析文章。

網易星球公眾號發布首次競拍活動說明:今日網易星球公眾號發布首次競拍活動的說明,說明中表示會對本次所有競拍成功居民的公開信息進行公示,競拍的所有信息均記錄在星球區塊鏈上,所有記錄可查詢、可追溯。說明中同時表示,黑鉆排行榜是以普通黑鉆數量為排序規則,同時并非實時榜單;排行榜顯示存在延時;3月29日重新開放“黑鉆排行榜”,可以看到前79名的黑鉆數量和原力值數量。[2018/3/30]

Tags:JARDAICONCONTJAR價格xDai ChainConcern Poverty ChainControl2XY

歐易交易所
CHA:專訪Sifchain創始人Jazear Brooks:如何打造高性能跨鏈DEX?_BRAIN價格

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報今年夏天的流動性挖礦,帶火了DeFi,但并未幫助其走向縱深發展.

1900/1/1 0:00:00
OIN:牛市可能才剛開始?全面了解交易量與價格的關系_coincheck交易平臺未成年可以注冊嗎

交易量 交易額 說到交易量,可能有的朋友會馬上聯想到K線圖上的交易量,K線圖下方一般會顯示相應時間內的交易“量”.

1900/1/1 0:00:00
okex:本輪比特幣牛市原因與走勢的7個判斷_比特幣價格今日行情走勢K線圖

編者按:本文來自鏈捕手,作者:王大樹,Odaily星球日報經授權轉載。11月以來,灰度信托等海外投資機構持續釋放加持比特幣的消息,比特幣也距離突破2017年12月的高點越來越近,市場上關于這輪牛.

1900/1/1 0:00:00
LIT:LTC日內漲幅超8%,“萊特銀”要起飛?_wbtc幣什么做空

編者按:本文來自金色財經,Odaily星球日報經授權轉載。說起萊特幣的地位,加密數字貨幣愛好者都知道“比特金、萊特銀”.

1900/1/1 0:00:00
PAY:谷燕西:為什么說Google Pay的戰略選擇是錯誤的?_onekeydepay

據美國媒體報道,GooglePay產品有了重大的升級。GooglePay開始同花旗銀行等十一家銀行合作,為Google的用戶提供銀行服務,包括為用戶開設支付和儲蓄賬戶.

1900/1/1 0:00:00
ROO:科普:什么是加密貨幣挖礦?_United States Property Coin

編者按:本文來自 加密谷Live ,作者:JerryQi,翻譯:Olivia,Odaily星球日報經授權轉載。當我還是一個七年級的學生時,我就已經被加密貨幣的世界吸引住了.

1900/1/1 0:00:00
ads