原文链接 http://dbarobin.com/2020/11/22/pickle/
注:以下为加速网络访问所做的原文缓存,经过重新格式化,可能存在格式方面的问题,或偶有遗漏信息,请以原文为准。
文/Robin
2020 年 11 月 22 日,Pickle Finance 前夜遭到攻击,攻击者利用从 Tornado 转出的 10 枚 ETH,从 Pickle Finance 中收获了近 2000 万 Dai。Hex Capital 的分析师 Nick Chong 分析认为,该攻击不涉及闪电贷,攻击者破坏了 Pickle Finance 合约中的 swapExactJarForJar 函数,制造了一个恶意的「Jar」(每个 Jar 类似于一个 Yearn 策略),然后将资金从最近部署的 DAI 策略转移到了攻击者自己的策略中。
Pickle Finance 官方正在调查事件经过,未发布具体攻击情况说明,但呼吁流动性提供者尽快将资金提出。Pickle Finance 此前完成了由 Haechi 进行的安全审计。Haechi 本周刚刚发布了 Pickle Finance 的安全审计报告,报告称未发现重大安全漏洞。
据慢雾分析,此次攻击中,攻击者通过调用 Controller 合约中的 swapExactJarForJar 函数时,伪造 _fromJar 和 _toJar 的合约地址,通过转入假币而换取合约中的真 DAI,完成了一次攻击的过程。
Pickle Finance 是个什么样的项目呢?Pickle 的目标非常简单而聚焦:使脱锚的稳定币(DAI、USDT、USDC、sUSD)更趋近于其锚定价格。Pickle 是试验性的协议,为了实现将稳定币跟其锚定价格更接近的目标,它采用了流动性挖矿的激励、资金库以及治理的方法。
这就有意思了,前脚刚由安全机构审计,并报告没有重大安全漏洞,后脚就被攻击,损失 2000 万 DAI。2000 万 DAI 可是 2000 万美元啊,Pickle 的用户估计此时哭晕在厕所。
DeFi 的攻击手法实在是太多了,笔者作为区块链行业从业者,每天都感受到这个行业面临的巨大安全风险。这种安全漏洞,即使通过安全审计,也未必发现。DeFi 项目的安全审计,对区块链安全团队的专业能力要求越来越高了。其实笔者一直很好奇,倘若安全机构审计过了,但是依然出现安全事故,这个责任划分,安全机构是否会承担一部分呢?
对于普通用户来讲,选择 DeFi 项目,一定要谨慎了。如果是同类别的 DeFi 项目,建议选择那些老牌的、经过审计的,尽量避免新项目、分叉项目。现在早已过了抢头矿的时候了,稳定压倒一切。
我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的微信: Wentasy
本站推广
币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。
- 币安注册: https://accounts.binancezh.pro/cn/register/?ref=11190872
- 邀请码: 11190872
本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。
–EOF–