比特儿平台丢失2000万美元:安全审计不可掉以轻心

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

在DeFi中,迅速失败的代价是巨大的。那么,敏捷开发方法适用于DeFi吗?这是一篇关于PickleFinance被盗2000万美元的启示的文章。周六,由于其Jar策略存在漏洞,DeFi协议PickleFinance被黑客盗走了2000万美元。随后,由Rekt、StakeCapital团队成员、samczsun等白帽黑客组成的临时小队迅速抢救了剩余易受攻击的5000万美元用户资金。作者Rekt对这次事件进行了总结。

金融的发酵还在继续,即使是酸黄瓜也有保质期。PickleFinance的漏洞导致黑客盗走了1970万DAI。PickleFinance成为了这次黑客攻击的受害者。

然而,这次与以往有所不同。当人们试图接受这次金融灾难时,Rekt开始了调查。他们联系了StakeCapital团队,后者查看了代码并警告其他Picklejar可能存在风险。随后,他们迅速与PickleFinance团队以及其他开发者建立了一个作战室。

经过调查,他们发现这次与之前的DeFi黑客事件非常不同,这次不是套利。攻击者对Solidity和EVM有着很好的了解,并且可能已经密切关注了Yearn代码一段时间,因为这次漏洞与一个月前在Yearn中发现的漏洞类似。

从本质上说,PickleJar就是YearnyVaults的分叉,这些Jar是由一个名为theController的合约控制的,该合约具有允许用户在Jar之间交换资产的功能。不幸的是,Pickle并没有设置白名单允许哪个Jar使用这个交换功能。黑客制造了一个假的PickleJar,并交换了原Jar中的资金。这是因为swapExactJarForJar没有检查白名单jar。

PickleFinance团队意识到他们需要帮助,并愿意与其他人合作,以防止进一步的损害。他们尝试调用withdrawAll函数,但这笔交易失败了。取款请求需要通过治理DAO,并存在12个小时的时间锁。只有一个Pickle多重签名组的成员有能力绕过这个时间锁,而当时他们正在睡觉。这意味着管理者无法清空PickleJar,但这并不能保护他们免受另一次黑客攻击。

随后,PickleFinance和Curve发出警告,要求用户立即从Pickle中提取资金。然而,仍有5000万美元的资金存放在潜在易受攻击的Picklejar中。于是,白帽团队进行了调查,并检查了剩余资金的安全性。他们要么叫醒睡着的管理员,要么自己抽干这些jar内的资金。这个小队面临着5个挑战:召集PickleFinance团队跨时区合作,通过提取资金拯救这些资金;让投资者提取资金;对其他jar进行安全检查;在任何人再次攻击这些jar之前,将资金转移出来;在试图挽救剩余的5000万美元资金时,避免被抢先交易。

我们还能继续依赖伪匿名白帽黑客的帮助多久?攻击者的动机更一致,所以为什么白帽黑客要协调这样一次艰苦的反击呢?荣誉归白帽,资金却归黑客,这是不可持续的。要让这些白帽变黑,需要多久时间?

通过发布技术信息,他们意识到可能会引发新的黑客攻击。他们与PickleFinance和其他开发人员讨论了潜在的后果,并确认他们不知道任何运行Pickle的代码分叉可能会受到模仿攻击的影响。选择性披露带来责任,所以他们决定自由发布这些信息,以提醒其他协议采取措施防止模仿攻击。

文章还提到了保险协议CoverProtocol对这一事件的处理,以及快速迭代和安全迭代之间寻找平衡的重要性。未来金融界最伟大的团队将是那些能够在快速迭代和安全迭代之间进行权衡的团队,他们需要定期对其可组合的货币机器人进行持续审计和严格测试。审计应该是一个定期的、持续的过程,而不仅仅是启动前的一次检查。毕竟,腌黄瓜只有在罐子里才能保持新鲜。

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/71720.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年08月25日
下一篇 2023年08月25日

相关推荐

  • 聚币网资金怎么检测,请问聚币网交易安全吗

    一、聚币网手机怎么样提现聚币网手机怎么提现金聚币网是一个加密货币交易平台,用户可以在平台上进行虚拟货币的买卖交易。如果你要提现金,需要进行以下步骤:打开聚币网APP,在主页下方找到“我”的选项,点击进入。在“我”的页面中,找到“资产”选项,点击进入。在“资产

    2024-12-15 23:30:01
    14 0
  • Uniswap流动性资金池是什么,流动性资金池什么意思

    一、流动性资金池什么意思流动性资金池是什么意思,相信很多投资者对于虚拟币圈子中的各种知识还是不很清楚,有有些人对于投资者资金池不是很清楚,更不提流动性资金池了,下面跟着小编一起来看看吧。流动性资金池什么意思流动资金池适用于锁定在智能合约中的代币池。通过提供

    2024-12-10 06:00:01
    28 0
  • b网怎么现金交易,入股资金怎么算

    一、b股怎么买B股如何开户投资者如需买卖深、沪证券交易所B股,应先开立B股帐户。投资者凭个人身份证到证券营业部填表办理B股账户开户手续,沪市B股个人股票账户开户费为19美元;深市B股个人股票账户开户费为120港元。其次,上海B股交易以美元结算,深圳B股以港币结算。投资者

    2024-12-04 15:00:01
    18 0
  • 哪些可以作为资金池,银行对理财资金池的法规有哪些

    一、银行对理财资金池的法规有哪些首先,对于理财资金池,举个例子,一家银行发行了“票据类”、“组合类”和“信托类”等各种期限、种类和预期年化收益率的理财产品,实际上客户购买这些产品的资金都归入银行统一的“资金池”,由银行相关部门运作“资金池”中的资金,比如购

    2024-11-28 20:00:01
    32 0
  • 聚币为什么会冻结资金,请问聚币网交易安全吗

    一、聚币网的数字货币交易靠不靠谱聚币网本身就是垃圾,骗子网站。接二连三的上新币,上线的钱十分钟网站直接卡的上不去。这段时间开始下架货币,就提前了一个小时通知货币要下架,搞得谁也没时间卖。提现超过他们保证的24小时也到不了账。还自称什么100%入金。聚币就是坑这群

    2024-11-17 15:00:01
    24 0
  • 欧意模仿交易资金怎么弄

    本文目次导读:欧意模仿交易资金怎么弄 开设模仿交易账户 利用模仿资金停止交易 模仿交易角逐 进修交易技巧 留意风险控造欧意模仿交易资金怎么弄在停止欧意模仿交易时,若何获取资金是一个关键问题。模仿交易是一种通过模仿市场情况停止交易操做的体例,

    2024-05-26 02:30:20
    274 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载