加密货币再次登上央视,DeFi被称为“科学家”的提款机?11月18日,比特币价格冲击了18,000美元,加密货币再次登上央视。根据央视报道,从投资回报率的角度来看,加密货币是今年真正的“头号”投资产品。今年加密货币市场的涨幅约为65%,超过了金价的20%涨幅,也超过了全球股市、债市和大宗商品市场的收益率。其中以太坊币的涨幅达到了169.40%。
央视解释说:“以太坊币价格上涨得有利于去中心化金融工具(DeFi)的使用增加,以及新冠疫情后各国实施的大规模刺激措施,这让投资者选择了比特币、以太坊等加密货币加密货币市场频繁出现利好消息,另一方面,DeFi项目由于未经严格审计而频遭攻击。据了解,今年9月10日,PickleFinance启动流动性挖矿,9月14日以太坊创始人V神发推文称赞该项目,使其代币价格暴涨了10倍。但在遭到此次攻击后,PickleFinance损失了价值近2000万美元的DAI,并且24小时内代币的价值腰斩。
数据显示,PickleFinance代币(Pickle)的价格在24小时内从22.7美元跌至10.2美元,其市值在未销毁的情况下24小时内蒸发了1220万美元。
发生了什么?PeckShield通过追踪和分析发现,攻击者通过查询函数获取到了1972万美元的资产余额。然后利用输入验证漏洞将DAI提取到PickleJar,这个漏洞存在于ControllerV4.swapExactJarForJar函数中。接下来,攻击者调用earn函数将提取的DAI部署到StrategyCmpdDaiV2中,并在内部缓冲区管理中多次调用earn函数,生成了共计950,818,864.8211968枚cDAI。随后,攻击者利用ControllerV4.swapExactJarForJar函数将StrategyCmpdDaiV2中的所有cDAI提取出来,最后将提取的cDAI存入恶意的地址。
未经严格审计的DeFi项目能走多远?针对此次PickleFinance被攻击事件,审计公司Haechi发推文称,他们在今年10月对其代码进行了一次审计,但是攻击者利用的漏洞出现在新创建的智能合约中,而不是已经接受过安全审计的智能合约中。与此次漏洞攻击相关的代码存在于controller-v4.sol中的swapExactJarForJar函数中,而不是之前经过审计的controller-v3.sol中。PeckShield负责人表示,一些DeFi项目在第一次智能合约安全审计后,为了快速上线主网,可能会省略对新增智能合约的审计。这种省略也许能够争取到短期的利益,但最终可能会因小失大。他们强调,在上线前一定要确保对代码进行彻底的审计和研究,以防止各种潜在的风险。
