以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 火必 > Info

OJA:假錢換真錢,揭秘 Pickle Finace 被黑過程

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程

1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI

Base:跨鏈橋和紀念性NFT已上線:8月3日消息,Base發推稱,六個Base跨鏈橋已開放,并推出了三個紀念性NFT,分別于Galxe、Layer3和mint.fun上推出。[2023/8/3 16:16:34]

2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI,。

Jack Dorsey旗下支付公司Block計劃構建比特幣挖礦開發工具包:3月8日消息,Jack Dorsey旗下支付公司Block在官方博客上表示,其正在考慮構建比特幣挖礦開發工具包或MDK,目前設想的MDK將包括:1.強大、可靠、工業級的比特幣挖礦算力板;2.專為與算力板配合使用而設計的定制控制器板;3.開源固件、軟件API和Web前端;3.豐富的參考資料和支持文檔,方便算力板的輕松定制。Block將在接下來的幾周和幾個月內進一步更新其挖礦硬件計劃。

文章表示:“MDK旨在是為開發人員提供一套工具,以幫助釋放比特幣挖礦硬件的創造力和創新。我們預計MDK對專注于將比特幣挖礦集成到各種新用例(如加熱解決方案、離網挖礦、家庭挖礦或間歇性電力應用)的開發項目非常有用,以及為傳統商業挖礦操作優化比特幣挖礦硬件。通過MDK,我們看到了增加比特幣挖礦硬件的可訪問性和開放性的重大機會,以加速該領域的創新。”[2023/3/8 12:48:43]

3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI

基于Cosmos的互操作協議Persistence與Axelar Network合作實施跨鏈消息傳遞:9月15日消息,基于Cosmos的互操作協議Persistence與通用互操作性平臺Axelar Network達成合作,以實施跨鏈消息傳遞,允許DApp用戶與其它數字資產或協議無縫交互。[2022/9/15 6:57:30]

4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利

總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。

Tags:JARDAIROMOJAJarvis AITRENDAICROMwojak幣發行時間

火必
BOOK:歷史上的今天:美國國會議員計劃引入新法案 為加密貨幣提供監管確定性

2019年10月30日,美國國會議員TomEmmer宣布,他打算引入一項新法律,以在證券法下為加密貨幣提供監管確定性.

1900/1/1 0:00:00
數字貨幣:盤和林:央行數字貨幣引起熱議 存在問題但不必過度擔憂

11月5日,中南財經政法大學數字經濟研究院執行院長盤和林發文稱,央行數字貨幣引起熱議,存在問題但不必過度擔憂。文章指出,不可忽略但也并不用過度擔憂因數字貨幣帶來的數字鴻溝問題.

1900/1/1 0:00:00
TPS:中國通信學會:區塊鏈技術將在三個方面尋求突破

日前,在2020中國信息通信大會上,中國通信學會正式發布《區塊鏈技術前沿報告》。報告指出,區塊鏈技術將在以下幾個方面尋求突破:一是區塊鏈底層技術,隨著區塊鏈技術與物聯網、5G、大數據等技術結合,

1900/1/1 0:00:00
EFI:DeFi基金M&A購入375枚MPH 約合1800萬美元完全稀釋市值

DeFi基金M&A發布推特宣布已購入375枚DeFi固定利率生成協議原生代幣MPH,約合1800萬美元完全稀釋的市值,并稱此前想投資88mph,但遭到拒絕.

1900/1/1 0:00:00
比特幣:分析:370萬比特幣或永遠丟失,價值約665億美元

據TheDailyHodl消息,加密分析公司Chainalysis在一份新的市場報告中表示,如果減去多年來人們丟失的比特幣數量,大約有1480萬比特幣在流通.

1900/1/1 0:00:00
Uniswap:開放式可編程保險市場 Tidal Finance 完成由 KR1 領投的 195 萬美元種子輪融資

12月23日消息,波卡生態上的開放式可編程保險市場TidalFinance完成195萬美元種子輪融資,區塊鏈投資公司KR1領投.

1900/1/1 0:00:00
ads