注:本周六,DeFi協議PickleFinance因其Jar策略中存在的漏洞,而被黑客盜走了2000萬美元,此后,由Rekt、StakeCapital團隊成員、samczsun等白帽黑客組成的臨時小隊對Pickle協議內剩余易受攻擊的5000萬美元用戶資金進行了搶救,作者Rekt對這次事件進行了總結。
金融的發酵還在繼續,即使是酸黃瓜也有保質期。
PickleFinance因一個涉及假“Picklejar”漏洞而被黑客盜走了1970萬DAI。
PickleFinance已成為了這次黑客大流行病的最新受害者。
傳Pico將在4個月內發布新品,直接對標Meta Project Cambria:金色財經報道,據業內傳聞,Pico計劃在9月之前發布一款高端VR頭顯。據悉,字節跳動旗下的新品計劃與Meta的新品具備極高的相似性,發布時間早于Meta的Project Cambria項目。與Cambria一樣,Pico的高端頭顯顯然將使用pancake鏡頭以實現更輕薄的外形,并具有更高的分辨率、眼動追蹤、面部追蹤和先進的控制器。環狀跟蹤手柄有利于搭載攝像頭捕捉交互的方案。據悉,該產品的硬件成本將“遠高于”Pico Neo3,后者于上周宣布以449歐元向歐洲消費者推出。(網易)[2022/4/21 14:38:25]
然而,這一次,有一些不同...
當Twitter上的人們試圖接受另一次金融災難時,Rekt開始了調查。
Pickle Finance正以10.5萬美元預算招聘首席運營官和產品負責人:Pickle Finance官方發文介紹新的智能金庫(Smart Treasury)、BAC-DAI PickleJar等。智能金庫開始將存入5860個PICKLE和一定比例的ETH,目前價值約10萬美元。Pickle Finance將維護兩個單獨的金庫:標準金庫,主要由穩定幣/ETH組成;智能金庫。未來超過40萬美元的所有金庫收入將以ETH的形式添加到智能金庫中。
BAC-DAI PickleJar接受BAC-DAI Uniswap LP代幣的存入以獲取BAS獎勵。
此外,提案PIP-22通過,每年將批準105,000美元的預算,用于聘請COO /產品負責人。[2021/1/8 15:39:50]
我們聯系了StakeCapital團隊,他們查看了代碼并警告我們其他Picklejar可能面臨風險。
鏈上ChainUP WaaS聯盟與AI PICK達成深度戰略合作:據官方消息,鏈上ChainUP WaaS聯盟與AI PICK宣布達成深度戰略合作,雙方就區塊鏈技術應用落地、區塊鏈金融服務、資金安全等方面深度合作。
AI PICK是一個次世代的智能投顧平臺,于2020年10月開啟公測,目前已突破2000個有效用戶。AI PICK通過AI人工智能算法技術,顛覆傳統金融中介化和資金集中化的投資理財方式,引領金融行業的重大變革。在AI PICK中,平臺不接觸用戶的數字資產,數字資產永遠由用戶自己保管。 AI PICK的理念是:讓交易更簡單更智能。
WaaS聯盟是鏈上ChainUP集團依托3年時間所服務的400多家交易所經驗,將底層資產托管和200+主鏈幣種錢包封裝而成的一套完整的服務,包含主鏈資產托管、節點服務、主鏈定制開發、熱門幣種一鍵接入、共管錢包、借貸理財等多種功能服務,通過開放錢包API與SDK,幫助交易所、項目方、媒體等企業快速高效接入,實現資產云端安全托管,聯盟內部轉賬0手續費即時到賬。目前已有超過500家企業加入鏈上ChainUP WaaS聯盟。[2020/12/9 14:41:04]
隨后,我們迅速聯系了PickleFinance團隊,并在SketchCapital成員以及有經驗的開發者@samczsun,@emilianobonassi之間建立了一個作戰室。
Pickle Finance已啟動新BUG獎勵計劃:Pickle Finance剛剛發推文稱,協議安全性非常重要,已啟動新的BUG獎勵計劃。[2020/11/12 12:22:17]
在我們進行調查后,很明顯,我們看到的是與最近幾周的DeFi樂高風格黑客事件非常不同的東西。
這不是一次套利。
攻擊者對Solidity和EVM有著很好的了解,并且可能已經密切關注了一段時間的Yearn代碼,因為這個漏洞與一個月前在Yearn中發現的漏洞類似。
從本質上說,PickleJar就是YearnyVaults的分叉,這些Jar是由一個名為theController的合約控制的,該合約具有允許用戶在Jar之間交換資產的功能。
不幸的是,Pickle并沒有設置白名單允許哪個Jar使用這個交換功能。
Pickle?Finance:問題將在24小時內得到解決:流動性挖礦項目Pickle?Finance發推稱,我們公布了更多關于15小時前發生的事情的細節以及我們的計劃。可能會有進一步的延遲,但我們有信心在24小時內解決這個問題。據悉,今天凌晨流動性挖礦項目Pickle?Finance中的PickleJar控制器出現錯誤,導致提款金額不正確。[2020/9/30]
黑客制造了一個假的PickleJar,并交換了原Jar中的資金。這是有可能的,因為swapExactJarForJar沒有檢查“白名單”jar。
PickleFinance團隊知道他們需要幫助,并非常愿意與其他人合作,以防任何進一步的損害。
Pickle曾試圖調用“withdrawAll”函數,但這筆交易失敗了。
這個取款請求需要通過治理DAO,而這存在12個小時的時間鎖。
只有一個Pickle多重簽名組的成員有能力繞過這個時間鎖,而當時他們正在睡覺。
這意味著管理者無法清空PickleJar,但這并不能保護他們免受另一次黑客攻擊。
隨后,PickleFinance和Curve發出警告,要求用戶立即從Pickle中提取資金,然而,潛在易受攻擊的Picklejar中還有5000萬美元,而白帽團隊調查了這一漏洞,并檢查了剩余資金的安全性。
救援小隊要么叫醒睡著的管理員,要么自己抽干這些jar內的資金。
這個小隊必須克服5大挑戰:
讓PickleFinance團隊跨多個時區聚集在一起,通過將交易推到12小時時間鎖提取資金,以拯救這些資金;
讓成千上萬的投資者提出他們的資金;
對其他jar進行安全檢查,看看是否有可能發生更多攻擊;
在任何人再次攻擊這些jar之前,復制這種攻擊,將資金轉移出來;
在試圖挽救剩余的5000萬美元資金時,避免被搶先交易;
我們還能繼續依賴偽匿名白帽黑客的幫助多久?
顯然,與保護者相比,攻擊者的動機更為一致,那白帽黑客為什么要協調這樣一次艱苦的反擊?
榮譽歸白帽,資金卻歸黑客,這是不可持續的。
要讓這些白帽變黑,還需要多久時間?
分析
通過發布這些技術信息,我們意識到我們可能會引發新的黑客攻擊。我們與PickleFinance及其他開發人員討論了潛在的后果,并確認我們不知道Pickle的任何運營分叉可能會受到模仿攻擊的影響。
選擇性披露會帶來責任的一個方面,所以我們決定自由發布這些信息。如果有任何協議在運行Pickle的代碼分叉,他們應該要意識到正在發生的事件,并采取預防措施來防止黑客模仿者。
下面的圖表是由@vasa_develop創建的。
原始文件可以在這里找到。
關于更多詳情,請參閱此處官方的調查報告。
看看相對較新的保險協議CoverProtocol如何處理這一事件是有趣的,這對他們的第一筆索賠來說是一筆巨大的金額。你可以在這里找到保險索賠的快照投票。
腌漬酸黃瓜是一個緩慢的過程。
幾十年來,“敏捷開發”的倡導者一直在告訴開發人員,要快速行動,迅速失敗,并發布最小的可行產品。
這些想法不適合在敵對環境中建設。
在DeFi中迅速失敗是要付出巨大代價的。
我們不需要另一種方法,我們需要一個范式轉換,允許快速迭代,同時減少被攻擊的可能性。
我們不要再認為“擁有審計就擁有了安全的保證”,在大多數情況下,它是應用于移動目標的檢查表式安全措施的快照,這些目標通常在項目進入主網后不久就演變成了其他東西。
MixBytes和Haechi的審計是在添加ControllerV4之前完成的,而ControllerV4是這次攻擊的關鍵向量之一。
未來金融界最偉大的團隊,將是那些能夠在快速迭代和安全迭代之間進行權衡的團隊,其能夠定期對其可組合的貨幣機器人進行持續審計和嚴格測試。
審計應該是一個定期的、持續的過程,而不是在啟動前打勾。新的DeFi協議會不斷變化和適應,而安全審計應反映這一點。
畢竟,腌黃瓜只有在罐子里才能保持新鮮...
Web3.0很好地承接了區塊鏈技術下一步的方向問題,但是這幾年Web3.0還處在一個非常早期的“打地基”階段,然后我們去除各個時期熱點的影響.
1900/1/1 0:00:00——牛市在絕望中誕生,在懷疑中成長,在樂觀中成熟,在興奮中死亡。★昨天,美國大選開始計票,美國股市開始從前一段時間的陰跌中強力反彈,而昨天走出了大漲的勢頭——無論誰當選,美股的一波大牛是大概率事.
1900/1/1 0:00:00原文作者:BillyBambrough 來源:福布斯 本周比特幣將迎來美國大選沖擊2020年美國大選的投票率將達到世紀最高水平,各大競選活動及候選人也占據了各大媒體的頭版頭條.
1900/1/1 0:00:00來源/LongHash 整個10月,去中心化金融市場可謂是歷經磨難。盡管比特幣強勢上漲,DeFi代幣卻陷入了跌跌不休的困境,而且沒有任何反彈跡象.
1900/1/1 0:00:00這幾天幣圈不太平,恐懼往往來自未知。我們觀察到,最近初現端倪:掩飾隱瞞犯罪所得罪成為“新寵”。為答疑解惑,颯姐團隊撰寫本文,以期為諸位老友普法.
1900/1/1 0:00:00重要要點 在2012年和2016年舉行的兩次美國大選之后,比特幣的價格都出現了大幅上漲。今年備受爭議的選舉可能演變成長期爭戰,目前這種趨勢大有可能會成為現實.
1900/1/1 0:00:00