当前位置:首页 > 知识 >

eac币交易平台遭攻击 担心未审计的PickleFinance之路

这一周,利用技术实力和知识门槛的黑客们非常忙碌。11月14日,黑客攻击了ValueDeFi的MultiStablesVault池子,窃取了近740万美元的DAI。11月17日,黑客攻击了OriginProtocol,伪造了2050万枚OUSD。在今天凌晨2点37分,黑客攻击了DeFi协议PickleFinance,窃取了近2000万美元的DAI。

加密货币再次登上央视,DeFi被称为“科学家”的提款机?11月18日,比特币价格冲击了18,000美元,加密货币再次登上央视。根据央视报道,从投资回报率的角度来看,加密货币是今年真正的“头号”投资产品。今年加密货币市场的涨幅约为65%,超过了金价的20%涨幅,也超过了全球股市、债市和大宗商品市场的收益率。其中以太坊币的涨幅达到了169.40%。

央视解释说:“以太坊币价格上涨得有利于去中心化金融工具(DeFi)的使用增加,以及新冠疫情后各国实施的大规模刺激措施,这让投资者选择了比特币、以太坊等加密货币加密货币市场频繁出现利好消息,另一方面,DeFi项目由于未经严格审计而频遭攻击。据了解,今年9月10日,PickleFinance启动流动性挖矿,9月14日以太坊创始人V神发推文称赞该项目,使其代币价格暴涨了10倍。但在遭到此次攻击后,PickleFinance损失了价值近2000万美元的DAI,并且24小时内代币的价值腰斩。

数据显示,PickleFinance代币(Pickle)的价格在24小时内从22.7美元跌至10.2美元,其市值在未销毁的情况下24小时内蒸发了1220万美元。

发生了什么?PeckShield通过追踪和分析发现,攻击者通过查询函数获取到了1972万美元的资产余额。然后利用输入验证漏洞将DAI提取到PickleJar,这个漏洞存在于ControllerV4.swapExactJarForJar函数中。接下来,攻击者调用earn函数将提取的DAI部署到StrategyCmpdDaiV2中,并在内部缓冲区管理中多次调用earn函数,生成了共计950,818,864.8211968枚cDAI。随后,攻击者利用ControllerV4.swapExactJarForJar函数将StrategyCmpdDaiV2中的所有cDAI提取出来,最后将提取的cDAI存入恶意的地址。

未经严格审计的DeFi项目能走多远?针对此次PickleFinance被攻击事件,审计公司Haechi发推文称,他们在今年10月对其代码进行了一次审计,但是攻击者利用的漏洞出现在新创建的智能合约中,而不是已经接受过安全审计的智能合约中。与此次漏洞攻击相关的代码存在于controller-v4.sol中的swapExactJarForJar函数中,而不是之前经过审计的controller-v3.sol中。PeckShield负责人表示,一些DeFi项目在第一次智能合约安全审计后,为了快速上线主网,可能会省略对新增智能合约的审计。这种省略也许能够争取到短期的利益,但最终可能会因小失大。他们强调,在上线前一定要确保对代码进行彻底的审计和研究,以防止各种潜在的风险。

猜你喜欢

关注我们

微信二维码

微信