宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 聚币 > 正文

Pickle Finance被盗2000万美元的启示

作者:

时间:1900/1/1 0:00:00

注:本周六,DeFi协议PickleFinance因其Jar策略中存在的漏洞,而被黑客盗走了2000万美元,此后,由Rekt、StakeCapital团队成员、samczsun等白帽黑客组成的临时小队对Pickle协议内剩余易受攻击的5000万美元用户资金进行了抢救,作者Rekt对这次事件进行了总结。

金融的发酵还在继续,即使是酸黄瓜也有保质期。

PickleFinance因一个涉及假“Picklejar”漏洞而被黑客盗走了1970万DAI。

PickleFinance已成为了这次黑客大流行病的最新受害者。

Minto完成6.6亿日元融资,Kakao Piccoma领投:5月14日消息,日本表情包漫画NFT公司Minto宣布获得Kakao Piccoma领投的6.6亿日元(约合人民币3500万元)投资,三井住友保险资本、瑞穗资本和OLM Ventures(Imagica Group的投资部门)等老股东跟投。

截止目前,Minto公司的融资总金额已达到14.6亿日元。Minto由日本表情包角色公司Quan与漫画公司Wwwaap两家公司合并,主要业务包括内容解决方案、IP(表情包+条漫)和Web3.0新领域业务三部分。Minto已经与区块链元宇宙平台The Sandbox合作,2021年11月推出QuanLAND(现已改名Minto Character Land)。据Minto透露,其NFT在4分钟内实现超过2.5亿日元的销售额。(TheBridge)[2022/5/14 3:16:19]

然而,这一次,有一些不同...

SpiceDAO 宣布以 266 万欧元成功竞拍《沙丘》电影的未出版手稿:1月17日消息,DAO组织Spice DAO 宣布以 266 万欧元(约303万美元)成功竞拍Alejandro Jodorowosky拍摄的《沙丘》电影未出版手稿,接下来,该项目计划公开本书(在法律允许的范围内),制作受本书启发的原创动画限量系列并将其出售给流媒体服务,并支持社区的衍生项目。

据悉,Spice DAO此前已通过juicebox募集2608个ETH,价值超870亿美元,该项目多余的资金将用于支付扫描、存储的成本以及其它活动,并经过DAO社区投票使用。[2022/1/17 8:53:48]

当Twitter上的人们试图接受另一次金融灾难时,Rekt开始了调查。

我们联系了StakeCapital团队,他们查看了代码并警告我们其他Picklejar可能面临风险。

随后,我们迅速联系了PickleFinance团队,并在SketchCapital成员以及有经验的开发者/img/20230515215547176929/1.jpg "/>

这个小队必须克服5大挑战:

让PickleFinance团队跨多个时区聚集在一起,通过将交易推到12小时时间锁提取资金,以拯救这些资金;

让成千上万的投资者提出他们的资金;

对其他jar进行安全检查,看看是否有可能发生更多攻击;

在任何人再次攻击这些jar之前,复制这种攻击,将资金转移出来;

在试图挽救剩余的5000万美元资金时,避免被抢先交易;

我们还能继续依赖伪匿名白帽黑客的帮助多久?

显然,与保护者相比,攻击者的动机更为一致,那白帽黑客为什么要协调这样一次艰苦的反击?

荣誉归白帽,资金却归黑客,这是不可持续的。

要让这些白帽变黑,还需要多久时间?

分析

通过发布这些技术信息,我们意识到我们可能会引发新的黑客攻击。我们与PickleFinance及其他开发人员讨论了潜在的后果,并确认我们不知道Pickle的任何运营分叉可能会受到模仿攻击的影响。

选择性披露会带来责任的一个方面,所以我们决定自由发布这些信息。如果有任何协议在运行Pickle的代码分叉,他们应该要意识到正在发生的事件,并采取预防措施来防止黑客模仿者。

下面的图表是由/img/20230515215547176929/2.jpg "/>

原始文件可以在这里找到。

关于更多详情,请参阅此处官方的调查报告。

看看相对较新的保险协议CoverProtocol如何处理这一事件是有趣的,这对他们的第一笔索赔来说是一笔巨大的金额。你可以在这里找到保险索赔的快照投票。

腌渍酸黄瓜是一个缓慢的过程。

几十年来,“敏捷开发”的倡导者一直在告诉开发人员,要快速行动,迅速失败,并发布最小的可行产品。

这些想法不适合在敌对环境中建设。

在DeFi中迅速失败是要付出巨大代价的。

我们不需要另一种方法,我们需要一个范式转换,允许快速迭代,同时减少被攻击的可能性。

我们不要再认为“拥有审计就拥有了安全的保证”,在大多数情况下,它是应用于移动目标的检查表式安全措施的快照,这些目标通常在项目进入主网后不久就演变成了其他东西。

MixBytes和Haechi的审计是在添加ControllerV4之前完成的,而ControllerV4是这次攻击的关键向量之一。

未来金融界最伟大的团队,将是那些能够在快速迭代和安全迭代之间进行权衡的团队,其能够定期对其可组合的货币机器人进行持续审计和严格测试。

审计应该是一个定期的、持续的过程,而不是在启动前打勾。新的DeFi协议会不断变化和适应,而安全审计应反映这一点。

毕竟,腌黄瓜只有在罐子里才能保持新鲜...

标签:PICICKPICKPICKLENPICK价格ICK Maskpickle币未来价格预测Universal Pickle

聚币热门资讯
DeFi已经停不下来了!以太坊的金融“大厦”在逐渐成型

进圈早的朋友,一定还对17-18年那个公链漫天飞的时期记忆尤深,对比TPS只有15的以太坊,似乎每个新兴公链看上去都那么美好,都是“以太坊杀手”.

1900/1/1 0:00:00
游戏板块齐飞,如何布局链游风口?

币安的最新一期IEO项目AxieInfinity最近霸榜,另一边,LOOM、MANA也莫名奇妙的齐飞,这三者有个共同点就是区块链游戏赛道.

1900/1/1 0:00:00
加密交易所谣言四起,是FUD还是监管的改变?

最近一系列的FUD事件是巧合,还是全球权威机构确实瞄准了不受监管的加密交易所?自去年10月以来,恐惧、不确定和怀疑的情绪(即FUD)一直笼罩着一些最大的加密货币交易所。这种情绪在上周不断加剧,但是与美国大选毫无联系.

1900/1/1 0:00:00
富达高管:2020年是机构投资比特币的“分水岭”

富达数字资产营销主管ChristineSandler在Unchained播客节目中解释了为什么机构投资者对比特币的兴趣在2020年激增.

1900/1/1 0:00:00
发展快过了千里马,漫谈区块链行业人才建设

前言:本文既不是研究报告,也不是新闻评论,最多只能算是笔者对于区块链行业发展的感受与思考。可能逻辑不严谨、论证不充分,大家权当作一篇随笔看看,如果赞同,可以鼓鼓掌,或秉持不同意见,欢迎交流探讨.

1900/1/1 0:00:00
Cosmos和Polkadot的跨链是一回事吗?一文看懂跨链

来源:Polkadot生态研究院 背景 谈到区块链的发展,用一个较为形象的比喻来形容可能更为贴切,它就像春秋时期的朝代更替一般,最开始还是零零散散的诸侯分割,各自为地,发展到后来往往需要有一定统一的东西出现.

1900/1/1 0:00:00