注:本周六,DeFi协议PickleFinance因其Jar策略中存在的漏洞,而被黑客盗走了2000万美元,此后,由Rekt、StakeCapital团队成员、samczsun等白帽黑客组成的临时小队对Pickle协议内剩余易受攻击的5000万美元用户资金进行了抢救,作者Rekt对这次事件进行了总结。
金融的发酵还在继续,即使是酸黄瓜也有保质期。
PickleFinance因一个涉及假“Picklejar”漏洞而被黑客盗走了1970万DAI。
PickleFinance已成为了这次黑客大流行病的最新受害者。
谷歌向人工智能公司Anthropic投资3亿美元,Alameda曾向其投资约5亿美元:2月4日消息,谷歌已向人工智能初创公司Anthropic投资约3亿美元,据三位知情人士透露,谷歌将通过这笔交易获得约10%的股份,交易条款要求Anthropic用这笔钱从谷歌云计算部门购买计算资源。
OpenAI和Anthropic都在寻求开发生成式人工智能,即可以在几秒钟内编写脚本和创作艺术的复杂计算机程序。据知情人士透露,虽然微软试图将OpenAI 的技术整合到自己的许多服务中,但谷歌与Anthropic的关系仅限于在人工智能军备竞赛中充当该公司的技术供应商。Anthropic开发了一款名为Claude的智能聊天机器人,可与OpenAI的ChatGPT相媲美,但尚未公开发布。
此前消息,Alameda/FTX向Anthropic投资约5亿美元。[2023/2/4 11:46:36]
然而,这一次,有一些不同...
Argo Blockchain将使用ePIC区块链打造基于英特尔的比特币挖矿平台:金色财经报道,Argo Blockchain(LSE:ARB)周二表示,Argo区块链将与加拿大区块链硬件制造商ePIC区块链合作,使用英特尔新推出的第二代比特币挖矿芯片设计和建造加密挖矿钻机。Argo区块链首席执行官彼得·沃尔周二在Argo的YouTube频道上发布了一段录音信息,称与ePIC的合作是2021年协议的延伸,Argo区块链同意购买价值800万美元的采矿设备。(coindesk)[2022/6/8 4:09:41]
当Twitter上的人们试图接受另一次金融灾难时,Rekt开始了调查。
我们联系了StakeCapital团队,他们查看了代码并警告我们其他Picklejar可能面临风险。
随后,我们迅速联系了PickleFinance团队,并在SketchCapital成员以及有经验的开发者@samczsun,@emilianobonassi之间建立了一个作战室。
Kakao Piccoma收购日本加密平台Sakura Exchange Bitcoin?:金色财经报道,韩国移动应用运营商Kakao Corporation的日本子公司Kakao Piccoma收购了加密货币平台Sakura Exchange Bitcoin的控股权。通过此举,Kakao打算在其未来的运营中利用区块链技术和Web3。
据Business Korea报告,Kakao Piccoma购买了Sakura Exchange Bitcoin超过50%的股份,成为其最大的股东。尽管如此,交易的具体规模并没有披露。这项交易应该有助于Kakao Piccoma将加密货币和区块链服务应用于其网络漫画平台。该公司还旨在进一步参与到Web3领域。[2022/4/6 14:07:13]
在我们进行调查后,很明显,我们看到的是与最近几周的DeFi乐高风格黑客事件非常不同的东西。
这不是一次套利。
Pickle Finance:此次攻击涉及许多Pickle协议组件 预计今晚23时修复完成:Pickle Finance刚刚发布博客文章更新攻击进展,博文提到,Pickle的pDAI PickleJar被黑客攻击,19759,355 DAI被耗尽。不久之后,一群白帽黑客接触了核心团队,并开始研究情况。第一步是对事务进行反向工程,看看是否可以编写代码来复制攻击。几个小时后,团队(现在总共有10多人)终于弄明白了是如何执行的,此次攻击这是一种非常复杂的攻击,涉及到许多Pickle协议的组件。就目前而言,似乎没有任何其他基金面临风险。当我们致力于消除攻击矢量的修复工作时,白帽黑客认为我们不应该发布实际攻击的任何细节。虽然我们已采取措施减轻进一步的攻击,但同时我们不想冒险。一旦修复完成,估计大约今日23时,我们将有更多的披露。[2020/11/22 21:42:01]
攻击者对Solidity和EVM有着很好的了解,并且可能已经密切关注了一段时间的Yearn代码,因为这个漏洞与一个月前在Yearn中发现的漏洞类似。
CNBC主持人自称是Pickle持币大户,并相信该协议会恢复:CNBC主持人Ran Neuner发推称,每一次黑客攻击,每一个漏洞都使DeFi更强大。我是Pickle(Pickle Finance)的持币大户,我不能原谅2000万美元的盗窃行为,但不幸的是,这些黑客攻击是发展和加强该行业的重要组成部分。Pickle是一种拥有强大社区的良好协议,它会恢复的。
此前消息,DeFi协议Pickle Finance在周六的一个漏洞中损失近2000万美元的DAI。据悉,该漏洞利用涉及Pickle Finance的DAI pJar策略(该策略利用Compound协议通过DAI存款来获得收益),来自该漏洞的资金已被转移到地址0x70178102AA04C5f0E54315aA958601eC9B7a4E08。[2020/11/22 21:40:33]
从本质上说,PickleJar就是YearnyVaults的分叉,这些Jar是由一个名为theController的合约控制的,该合约具有允许用户在Jar之间交换资产的功能。
不幸的是,Pickle并没有设置白名单允许哪个Jar使用这个交换功能。
黑客制造了一个假的PickleJar,并交换了原Jar中的资金。这是有可能的,因为swapExactJarForJar没有检查“白名单”jar。
PickleFinance团队知道他们需要帮助,并非常愿意与其他人合作,以防任何进一步的损害。
Pickle曾试图调用“withdrawAll”函数,但这笔交易失败了。
这个取款请求需要通过治理DAO,而这存在12个小时的时间锁。
只有一个Pickle多重签名组的成员有能力绕过这个时间锁,而当时他们正在睡觉。
这意味着管理者无法清空PickleJar,但这并不能保护他们免受另一次黑客攻击。
随后,PickleFinance和Curve发出警告,要求用户立即从Pickle中提取资金,然而,潜在易受攻击的Picklejar中还有5000万美元,而白帽团队调查了这一漏洞,并检查了剩余资金的安全性。
救援小队要么叫醒睡着的管理员,要么自己抽干这些jar内的资金。
这个小队必须克服5大挑战:
让PickleFinance团队跨多个时区聚集在一起,通过将交易推到12小时时间锁提取资金,以拯救这些资金;
让成千上万的投资者提出他们的资金;
对其他jar进行安全检查,看看是否有可能发生更多攻击;
在任何人再次攻击这些jar之前,复制这种攻击,将资金转移出来;
在试图挽救剩余的5000万美元资金时,避免被抢先交易;
我们还能继续依赖伪匿名白帽黑客的帮助多久?
显然,与保护者相比,攻击者的动机更为一致,那白帽黑客为什么要协调这样一次艰苦的反击?
荣誉归白帽,资金却归黑客,这是不可持续的。
要让这些白帽变黑,还需要多久时间?
分析
通过发布这些技术信息,我们意识到我们可能会引发新的黑客攻击。我们与PickleFinance及其他开发人员讨论了潜在的后果,并确认我们不知道Pickle的任何运营分叉可能会受到模仿攻击的影响。
选择性披露会带来责任的一个方面,所以我们决定自由发布这些信息。如果有任何协议在运行Pickle的代码分叉,他们应该要意识到正在发生的事件,并采取预防措施来防止黑客模仿者。
下面的图表是由@vasa_develop创建的。
原始文件可以在这里找到。
关于更多详情,请参阅此处官方的调查报告。
看看相对较新的保险协议CoverProtocol如何处理这一事件是有趣的,这对他们的第一笔索赔来说是一笔巨大的金额。你可以在这里找到保险索赔的快照投票。
腌渍酸黄瓜是一个缓慢的过程。
几十年来,“敏捷开发”的倡导者一直在告诉开发人员,要快速行动,迅速失败,并发布最小的可行产品。
这些想法不适合在敌对环境中建设。
在DeFi中迅速失败是要付出巨大代价的。
我们不需要另一种方法,我们需要一个范式转换,允许快速迭代,同时减少被攻击的可能性。
我们不要再认为“拥有审计就拥有了安全的保证”,在大多数情况下,它是应用于移动目标的检查表式安全措施的快照,这些目标通常在项目进入主网后不久就演变成了其他东西。
MixBytes和Haechi的审计是在添加ControllerV4之前完成的,而ControllerV4是这次攻击的关键向量之一。
未来金融界最伟大的团队,将是那些能够在快速迭代和安全迭代之间进行权衡的团队,其能够定期对其可组合的货币机器人进行持续审计和严格测试。
审计应该是一个定期的、持续的过程,而不是在启动前打勾。新的DeFi协议会不断变化和适应,而安全审计应反映这一点。
毕竟,腌黄瓜只有在罐子里才能保持新鲜...
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。