比特儿平台丢失2000万美元:安全审计不可掉以轻心

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

在DeFi中,迅速失败的代价是巨大的。那么,敏捷开发方法适用于DeFi吗?这是一篇关于PickleFinance被盗2000万美元的启示的文章。周六,由于其Jar策略存在漏洞,DeFi协议PickleFinance被黑客盗走了2000万美元。随后,由Rekt、StakeCapital团队成员、samczsun等白帽黑客组成的临时小队迅速抢救了剩余易受攻击的5000万美元用户资金。作者Rekt对这次事件进行了总结。

金融的发酵还在继续,即使是酸黄瓜也有保质期。PickleFinance的漏洞导致黑客盗走了1970万DAI。PickleFinance成为了这次黑客攻击的受害者。

然而,这次与以往有所不同。当人们试图接受这次金融灾难时,Rekt开始了调查。他们联系了StakeCapital团队,后者查看了代码并警告其他Picklejar可能存在风险。随后,他们迅速与PickleFinance团队以及其他开发者建立了一个作战室。

经过调查,他们发现这次与之前的DeFi黑客事件非常不同,这次不是套利。攻击者对Solidity和EVM有着很好的了解,并且可能已经密切关注了Yearn代码一段时间,因为这次漏洞与一个月前在Yearn中发现的漏洞类似。

从本质上说,PickleJar就是YearnyVaults的分叉,这些Jar是由一个名为theController的合约控制的,该合约具有允许用户在Jar之间交换资产的功能。不幸的是,Pickle并没有设置白名单允许哪个Jar使用这个交换功能。黑客制造了一个假的PickleJar,并交换了原Jar中的资金。这是因为swapExactJarForJar没有检查白名单jar。

PickleFinance团队意识到他们需要帮助,并愿意与其他人合作,以防止进一步的损害。他们尝试调用withdrawAll函数,但这笔交易失败了。取款请求需要通过治理DAO,并存在12个小时的时间锁。只有一个Pickle多重签名组的成员有能力绕过这个时间锁,而当时他们正在睡觉。这意味着管理者无法清空PickleJar,但这并不能保护他们免受另一次黑客攻击。

随后,PickleFinance和Curve发出警告,要求用户立即从Pickle中提取资金。然而,仍有5000万美元的资金存放在潜在易受攻击的Picklejar中。于是,白帽团队进行了调查,并检查了剩余资金的安全性。他们要么叫醒睡着的管理员,要么自己抽干这些jar内的资金。这个小队面临着5个挑战:召集PickleFinance团队跨时区合作,通过提取资金拯救这些资金;让投资者提取资金;对其他jar进行安全检查;在任何人再次攻击这些jar之前,将资金转移出来;在试图挽救剩余的5000万美元资金时,避免被抢先交易。

我们还能继续依赖伪匿名白帽黑客的帮助多久?攻击者的动机更一致,所以为什么白帽黑客要协调这样一次艰苦的反击呢?荣誉归白帽,资金却归黑客,这是不可持续的。要让这些白帽变黑,需要多久时间?

通过发布技术信息,他们意识到可能会引发新的黑客攻击。他们与PickleFinance和其他开发人员讨论了潜在的后果,并确认他们不知道任何运行Pickle的代码分叉可能会受到模仿攻击的影响。选择性披露带来责任,所以他们决定自由发布这些信息,以提醒其他协议采取措施防止模仿攻击。

文章还提到了保险协议CoverProtocol对这一事件的处理,以及快速迭代和安全迭代之间寻找平衡的重要性。未来金融界最伟大的团队将是那些能够在快速迭代和安全迭代之间进行权衡的团队,他们需要定期对其可组合的货币机器人进行持续审计和严格测试。审计应该是一个定期的、持续的过程,而不仅仅是启动前的一次检查。毕竟,腌黄瓜只有在罐子里才能保持新鲜。

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/71720.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年08月25日
下一篇 2023年08月25日

相关推荐

  • 聚币为什么会冻结资金,请问聚币网交易安全吗

    一、聚币网的数字货币交易靠不靠谱聚币网本身就是垃圾,骗子网站。接二连三的上新币,上线的钱十分钟网站直接卡的上不去。这段时间开始下架货币,就提前了一个小时通知货币要下架,搞得谁也没时间卖。提现超过他们保证的24小时也到不了账。还自称什么100%入金。聚币就是坑这群

    2024-11-17 15:00:01
    7 0
  • 欧意模仿交易资金怎么弄

    本文目次导读:欧意模仿交易资金怎么弄 开设模仿交易账户 利用模仿资金停止交易 模仿交易角逐 进修交易技巧 留意风险控造欧意模仿交易资金怎么弄在停止欧意模仿交易时,若何获取资金是一个关键问题。模仿交易是一种通过模仿市场情况停止交易操做的体例,

    2024-05-26 02:30:20
    234 0
  • 欧意okex怎么交易

    本文目次导读:若何在欧意OKEx平台长进行交易?欧意OKEx注册账号充值资金选择交易对下单交易风险办理资金平安若何在欧意OKEx平台长进行交易?欧意OKEx欧意OKEx是一家出名的数字资产交易平台,供给多种数字货币的交易办事。做为全球领先的

    2024-05-25 03:30:18
    189 0
  • okx怎么交易平安

    本文目次导读:若何在OKX长进行平安交易?OKX交易平台平安认证资金平安交易平安若何在OKX长进行平安交易?OKX交易平台OKX是全球领先的数字资产交易平台之一,供给多种数字货币的交易办事。做为一个交易平台,OKX努力于为用户供给平安、高效

    2024-05-22 04:00:24
    204 0
  • okx注册问一问

    本文目次导读:若何注册OKX账号?OKX注册问题解答OKX注册手机验证身份验证交易平安若何注册OKX账号?OKX注册问题解答OKXOKX是全球领先的数字资产交易平台,为用户供给平安、便利的交易体验。做为一家出名的数字货币交易所,OKX拥有庞

    2024-05-22 00:30:21
    199 0
  • 欧意OKX(****)交易所资金平安吗 欧意****怎么交易

    本文目次导读:欧意OKX(okex)交易所资金平安性评估及交易指南欧意OKX(okex)交易所资金平安性评估欧意OKX(okex)交易指南欧意OKX(okex)交易所资金平安性评估及交易指南欧意OKX(okex)交易所资金平安性评估,欧意O

    2024-05-19 15:00:05
    205 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载