这一周,“科学家”们很忙。11月14日,黑客攻击ValueDeFi的MultiStablesVault池子,获得近740万美金的DAI;11月17日,黑客攻击OriginProtocol凭空铸造2050万枚OUSD。
昨日凌晨2时37分,当人们还在熟睡之时,黑客攻击DeFi协议PickleFinance,捞得近2000万美元的DAI。
加密货币再次登上央视DeFi沦为“科学家”的提款机?
11月18日,比特币冲击18,000美元,加密货币再次登上央视,此前,加密货币被誉为去中心化的金融工具首次登上央视。
Spice VC已出售Blockdaemon和Securitize 的部分股份:金色财经报道,专注于加密货币的风险投资公司Spice VC已出售其在加密基础设施公司 Blockdaemon 和另类投资平台 Securitize 的部分股份。?Spice VC的目的是为了确保其投资者获得回报,这是继今年 4 月采取类似举措之后的第二次。[2022/9/15 6:59:30]
据央视报道,从投资回报率的角度来看,加密货币是今年真正的“头号”投资产品。“彭博银河加密货币指数”上涨约65%,超过金价逾20%的涨幅,也超过全球股市、债市和大宗商品市场的收益率。涨幅较高的一个关键原因是以太坊币价暴涨,涨幅达到169.40%。
Web3工作室Toonstar与Hot Topic合作推出娱乐类NFT:金色财经报道,根据一份新闻稿,Toonstar周三宣布它将与零售连锁店Hot Topic, Inc.合作,为其原创项目和Hot Topic产品提供NFTs和Web3体验。
Toonstar公司首席执行官兼联合创始人John Attanasio说,Toonstar将NFTs和零售业的交叉点视为将Web3空间推向主流的机会。凭借Hot Topics在美国的800家门店和The Hot Topic HT Fanatics社区的1100万现有会员,该公司可以将新用户纳入该空间。
Toonster将支持Hot Topic启动店内NFT销售,促进实体NFT商品的兑换,并帮助将店内销售的顾客最喜爱的品牌带到Web3。(coindesk)[2022/7/13 2:11:15]
央视解释道:“以太坊币价格攀升得益于去中心化金融工具的使用增加,以及疫情肆虐后各国出台的巨额刺激措施,让投资者选择了比特币、以太坊等加密货币进行保值。”
Pickle Finance发起两项新提案欲增聘开发者并永久保留0xkoffee的任命:2月2日,Pickle Finance官方发推称,社区已发起PIP-27和PIP-28两项新提案。其中,PIP-27计划为Pickle Finance项目招聘新的开发人员,并设定招聘计划预算;PIP-28提案则计划永久保留0xkoffee的任命。根据该提案内容,开发者0xkoffee最初被紧急雇佣,其任期将在两周内结束。而鉴于0xkoffee的工作表现优异,将任命其为Pickle团队的常任理事。[2021/2/2 18:42:12]
一方面,加密货币市场频频发出利好消息;另一方面,DeFi项目因未经严格审计频遭攻击。
据悉,今年9月10日酸黄瓜PickleFinance启动流动性挖矿,9月14日V神发推文赞赏该项目,使其代币价格暴涨10倍。而遭到此次攻击后,酸黄瓜损失近价值2000万的DAI,同时24小时内其代币腰斩。
CoinmarketCap数据显示,PickleFinance代币的价格在24小时内,从22.7美元跌到10.2美元,它的市值在未销毁的情况下,24小时内蒸发了1220万美元。
Pickle?Finance:已准备重新分配PickleJar资金:10月2日,流动性挖矿项目Pickle?Finance官方发推称,已准备重新分配PickleJar资金,且当前已收到所有适当的确认。9月30日消息,Pickle Finance中PickleJar控制器出现错误,导致提款金额不正确。随后官方表示,一旦确认脚本及数据就重新分配和恢复PickleJar操作。[2020/10/2]
发生了什么?
PeckShield通过追踪和分析发现,攻击者通过StrategyCmpdDaiV2.getSuppliedUnleveraged()函数查询资产余额1972万美元;随后,攻击者利用输入验证漏洞将StrategyCmpdDaiV2中的所有DAI提取到PickleJar:这个漏洞位于ControllerV4.swapExactJarForJar()函数中,其中包含两个既定的伪Jar。在未验证既定Jar的情况下,此步骤会将存入的所有DAI提取到PickleJar,并进行下一轮部署。接下来,攻击者调用earn()函数将提取的DAI部署到StrategyCmpdDaiV2中。在内部缓冲区管理中,黑客调用了三次earn()函数,在StrategyCmpdDaiV2中生成共计950,818,864.8211968枚cDAI;第一次调用earn()函数存入1976万枚DAI,铸造903,390,845.43581639枚cDAI;第二次调用earn()函数存入98.8万枚DAI,铸造45,169,542.27179081枚cDAI;第3次调用earn()函数存入4.9万枚DAI,铸造2,258,477.11358954枚cDAI;
SPiCE代币化区块链基金在马来西亚扶桑交易所上市:金色财经报道,SPiCE Venture Capital已将其代币化区块链基金(SPiCE VC)在马来西亚扶桑交易所(Fusang Exchange)上市。该公司董事Tal Elyashiv表示,扶桑将向亚洲的全球投资者、家族办公室和机构介绍SPiCE VC。[2020/9/2]
随后,攻击者调用ControllerV4.swapExactJarForJar()函数,利用任意代码执行将StrategyCmpdDaiV2中的所有cDAI提取出来,这一步中,_execute()函数有两个参数:_target和_data,_target指的是目标地址,即图中橘色所示部分;_target是一个加白的地址,攻击者没办法任意控制此地址,此处他们利用的是CurveProxyLogic,该加白的合约(能通过262行approvedJarConverter的检查。也就是说,能被完全控制的是参数_data,即图中紫色所示部分,_data中包含_execute()函数可调用的add_liquidity()函数,以及传给add_liquidity()的所有参数。
此时,咱们回到橘色框里的curve、curveFunctionSig、curvePoolSize、curveUnderlyingIndex、underlying,其中curve是一个地址,它表示橘色框里倒数第二行中的curve.call()函数可以执行任意一个合约,因此,攻击者把curve设置成StrategyCmpdDaiV2,curveFunctionSig表示除了刚刚指定合约外,还可以指定要调用此合约的函数,通过此操作攻击者成功调用StrategyCmpdDaiV2.withdraw()函数。
接下来就是组织蓝色框中的函数StrategyCmpdDaiV2.withdraw()的参数_asset,蓝色框中的_asset实际上是橘色框框里的liquidity,liquidity由传入函数add_liquidity()的underlying得来,underlying是另一个伪造的合约地址,它的balanceOf()函数会返回cDAI的地址。攻击者将cDAI的地址设置成liquidity,然后,liquidity被打包到callData里再传给withdraw()函数,使得withdraw()函数取出的_asset就是cDAI的地址。值得注意的是,如果want==_asset,蓝色框里的函数就不执行,此设计的目的在于want是不允许被取出的,所以攻击者刻意取出对应的cDAI。
最后,执行回ControllerV4.swapExactJarForJar()函数,所提取的cDAI被存入恶意的_toJar.在_toJar.deposit()函数里,所有950,818,864.8211968枚cDAI立即转入黑客地址。
未经严格审计的DeFi能走多远?
针对此次PickleFinance被攻击事件,其审计公司Haechi发推文称,今年10月对其代码进行了一次审计,但是攻击者利用的漏洞发生在新创建的智能合约中,而不是接受安全审计的智能合约中。与此次漏洞攻击相关的代码存在于controller-v4.sol中的swapExactJarForJar,而非此前审计的controller-v3.sol中,该智能合约不包含swapExactJarForJar。
对此,PeckShield相关负责人表示:“有一些DeFi项目在做过第一次智能合约安全审计后,可能会为了快速上线主网,省略审计新增的智能合约,这种省略或能争取短时的利益,但就像此次攻击一样最终因小失大。DeFi们在上线之前一定要确保代码进行彻底地审计和研究,防范各种可能发生的风险。”
未经严格审计即上线的DeFi项目能走多远?
编者注:近期因投研部的日常工作量增多,为了保证高质量的输出,上周降低了更新的频率,后续会保持稳定的输出节奏,还望各位读者见谅.
1900/1/1 0:00:0001.前言 2020年10月国际货币基金组织公开发布了一份跨境支付报告《跨境支付的数字货币:宏观金融的影响》。这篇报告讨论到四个可能发展的场景以及对宏观经济和监管政策的影响,报告封面显示,该报告经过了普林斯顿大学的评估.
1900/1/1 0:00:00美联储研究员表示,央行数字货币在隐私保护方面将击败大科技公司。 纽约联储研究员MichaelLee和加州大学圣巴巴拉分享经济学教授RodGarratt近日在一篇文章中对央行数字货币进行了分析.
1900/1/1 0:00:00去中心化交易所、DeFi项目以及自动化做市商在2020年第三季度经历了巨大增长,由于AMM、新流动性池激励计划以及UNI代币的推出,Uniswap成为以太坊区块链上交易和交换数字资产的首选场所.
1900/1/1 0:00:00最近以太坊2.0发布升级进度的消息,其创始人Vitalik发文详述以太坊从PoW转向PoS的三大关键原因,引起加密货币社区的广泛讨论.
1900/1/1 0:00:002018年,歌手、综艺主持人、饶舌乐团Machi团长、电竞老板、聊天平台Swap创始人等众多身份为一体的黄立成,躬身进入币圈,成了音乐界第一个拥抱加密货币的艺人.
1900/1/1 0:00:00