以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > SAND > Info

DAI:假錢換真錢,揭秘 Pickle Finance 被黑過程

Author:

Time:1900/1/1 0:00:00

By:慢霧安全團隊

據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程。

攻擊流程簡析

1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI。

數據:Starknet鎖倉額近7日增加78.17%:8月15日消息,L2BEAT數據顯示,Starknet鎖倉額近2億美元,近7日增加78.17%。[2023/8/15 21:24:13]

2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI。

3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar轉入一定量的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣,然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI。

SOL突破30美元:金色財經報道,行情顯示,SOL突破30美元,現報30.04美元,日內漲幅達到38.56%,行情波動較大,請做好風險控制。[2023/7/14 10:54:27]

4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利。

火必將下架ABT、ATP等33個幣種:1月11日消息,據官方公告,火必將于2023年1月16日16:00停止ABT、ATP、APN、AST、DIE、DHT、DFA、EDEN、GEAR、HC、INDI、IOI、INV、IRIS、GCOIN、GOF、KMA、MTA、NAS、OPUL、PEARL、PRIMATE、QASH、SMT、SLC、SKU、SOC、STC、TALK、VALUE、WHALE、WILD和YAM的交易,并實施下架處理;原因是這些代幣觸犯了《火必通證管理規則》。[2023/1/11 11:05:57]

總結

此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。

IDC:2026年中國AR/VR總投資規模將超過120億美元:金色財經報道,近日,IDC發布2022年V2版IDC《全球增強與虛擬現實支出指南》。

?IDC預測,2021年全球增強與虛擬現實(AR/VR)總投資規模接近125.4億美元,并有望在2026年增至508.8億美元,五年復合增長率(CAGR)將達32.3%。(鞭牛士)[2022/12/9 21:33:59]

往期回顧

閃電貸重入攻擊,OUSD損失700萬美金技術簡析

如何使用閃電貸從0撬動百萬美元?ValueDeFi協議閃電貸攻擊簡要分析

無中生有?DeFi協議Akropolis重入攻擊簡析

Acala創世已通過慢霧科技安全審計

BithumbGlobal入駐慢霧區,發布「安全漏洞與威脅情報賞金計劃」

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

本文來源于非小號媒體平臺:

慢霧科技

現已在非小號資訊平臺發布68篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/9558989.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

幣安為何推出第三條鏈?這對BNB意味著什么?

Tags:JARDAIROMOJAJARED幣RDAIprom幣最新消息Ojamu

SAND
POL:磨練投資思維:三池估值模型分析 Polkadot 與 Cosmos 跨鏈生態之戰

Polkadot和Cosmos是生態之戰,平行鏈的數量、活躍度決定成敗。生態之戰的焦點是爭奪開發者,包括理念傳播、技術培訓、工具支持等,即全面降低平行鏈項目創新門檻.

1900/1/1 0:00:00
ASI:Vitalik Buterin:解析 PoS 與 PoW 機制安全性優劣

總體而言PoS系統仍然利大于弊:更高的效率、應對攻擊并從攻擊中復原的能力更強。原文標題:《Vitalik:權益證明vs.工作量證明(2020年11月)》撰文:VitalikButerin,以太坊.

1900/1/1 0:00:00
以太坊:觀點:比特幣與傳統資產相關性低,正成為機構青睞的新資產類別

比特幣流動性、市場結構和透明度的改善將吸引新的投機者,這將催生一個積極的反饋循環,加強比特幣作為新資產類別的地位.

1900/1/1 0:00:00
FRAX:Gate.io 將上線 Frax (FRAX) 交易的公告

Gate.io將于2020年12月21日16:00上線Frax(FRAX)交易。Frax是一個分數算法穩定幣.

1900/1/1 0:00:00
DOVE:Dovey Wan:從比特幣減半代碼讀懂「In Code We Trust」

比特幣每四年減半的必然規律就寫在十來行代碼中,PrimitiveVentures創始合伙人DoveyWan帶你讀懂這些簡潔「法律」.

1900/1/1 0:00:00
NER:區塊鏈到底有什么了不起

輿論是個很有意思的東西。去年年底到今年年初,我們聽到了那么多關于區塊鏈技術的贊美,現在,我們又聽到人們對這項技術的各種全盤否定.

1900/1/1 0:00:00
ads