区块见闻 区块见闻
Ctrl+D收藏区块见闻

CUR:Pickle Finance遭攻击损失近2000万美元DAI,未经严格审计的DeFi路在何方?_CDAI价格

作者:

时间:

这一周,“科学家”们很忙。11月14日,黑客攻击ValueDeFi的MultiStablesVault池子,获得近740万美金的DAI;11月17日,黑客攻击OriginProtocol凭空铸造2050万枚OUSD。

昨日凌晨2时37分,当人们还在熟睡之时,黑客攻击DeFi协议PickleFinance,捞得近2000万美元的DAI。

加密货币再次登上央视DeFi沦为“科学家”的提款机?

11月18日,比特币冲击18,000美元,加密货币再次登上央视,此前,加密货币被誉为去中心化的金融工具首次登上央视。

分析 | 以太坊主流交易所交易量暴涨 基本面状况表现良好:据 TokenGazer 数据分析显示,截止至 9?月 25?日 11 时,以太坊价格为$170.90,总市值为$18,749.88M,主流交易所交易量约为$609.29M,环比昨日暴涨,考虑到以太坊的下跌行情,可能有相当比例的抛盘;近期以太坊对比特币汇率在回升之后有一定下滑;基本面方面,以太坊链上交易量有一定上行、链上DApp交易量保持增长,算力有一定下滑,活跃地址数持续增长;以太坊 30 天开发者指数约为 2.22;以太坊与 BTC 180 天关联度在年内低点附近平稳波动,30 天 ROI持续下滑;ERC20 代币总市值约为以太坊总市值的 56.72%,持续回升。[2019/9/25]

据央视报道,从投资回报率的角度来看,加密货币是今年真正的“头号”投资产品。“彭博银河加密货币指数”上涨约65%,超过金价逾20%的涨幅,也超过全球股市、债市和大宗商品市场的收益率。涨幅较高的一个关键原因是以太坊币价暴涨,涨幅达到169.40%。

分析 | LTC可能继续下跌,或提供新的交易机会:LTC已经跌到63美元,交易员们担心最糟糕的情况只会到来。推特用户@cryptorecruitr表示,现在不是LTC的最佳时机,目前最好的策略是坐着等它开始恢复。 由于LTC可能再次下跌,它为那些做空者提供了新的交易机会。推特用户Exrates.me表示,其目标价是63美元,LTC现在是64美元,可能会看到价格进一步下跌。祝贺那些以77美元卖出LTC的人,获得了大约16%的利润。 根据交易员MartyBoots的价格图表,LTC可能跌至20美元;其提醒,未来将有巨大的买入机会,我们不应该错过。(U.Today)[2019/9/2]

央视解释道:“以太坊币价格攀升得益于去中心化金融工具的使用增加,以及疫情肆虐后各国出台的巨额刺激措施,让投资者选择了比特币、以太坊等加密货币进行保值。”

一方面,加密货币市场频频发出利好消息;另一方面,DeFi项目因未经严格审计频遭攻击。

分析 | 比特币COT持仓周报:短期内依然会继续目前的震荡格局,下周还应以多头策略为主:本周CME比特币期货持仓中,卖方(Dealer)的账户依然持有50手净空单不变。大型投资基金(Asset Manager)账户多空都出现下降,整体虽然保持净多单,但数量已经下降至15手。

回看过去两个月的持仓变化,大型投资基金自6月中旬之后持仓便出现大幅跳水,至今净多仓依然维持较低水位,说明投机资金目前无意推动市场再次向上。但从卖方账户的角度来看,整个7月他们都看空市场,但在8月中旬之后开始转变看法,这说明市场即便表现得很弱但至少近期不会出现一泻千里的局面,维持牛市的因素依然存在。

综合而言,短期内依然会继续目前的震荡格局,在多空策略的分配上,下周还应以多头策略为主。[2019/8/31]

据悉,今年9月10日酸黄瓜PickleFinance启动流动性挖矿,9月14日V神发推文赞赏该项目,使其代币价格暴涨10倍。而遭到此次攻击后,酸黄瓜损失近价值2000万的DAI,同时24小时内其代币腰斩。

分析 | ETH流入交易所数持续增长:据Searchain.io数据显示: 昨日ETH流入交易所数较前日增长41.36%,较上周同期流入交易所增长 54.12%;昨日ETH流出交易所数较前日减少 45.30%,较上周同期流出交易所减少 19.00%。分析师认为,普通交易所ETH换手率降幅最明显;场间出现的大额ETH转账流入流出交易所应该是行情动荡导致的场间交易补差为主。[2018/10/21]

CoinmarketCap数据显示,PickleFinance代币的价格在24小时内,从22.7美元跌到10.2美元,它的市值在未销毁的情况下,24小时内蒸发了1220万美元。

发生了什么?

动态 | EPIC宣布其加密货币EPIC Digital Coin将提供对冲法币贬值措施:据Business Wire 6月10日消息,EPIC Corporation(OTC PINK: EPOR)宣布其EPIC货币系统的加密货币EPIC Digital Coin将提供对冲法币贬值的措施,同时,EPIC将于2019年7月8日以1股普通股反向拆分为40股已发行在外的普通股,以成为一家私营公司。[2019/6/10]

PeckShield通过追踪和分析发现,攻击者通过StrategyCmpdDaiV2.getSuppliedUnleveraged()函数查询资产余额1972万美元;随后,攻击者利用输入验证漏洞将StrategyCmpdDaiV2中的所有DAI提取到PickleJar:这个漏洞位于ControllerV4.swapExactJarForJar()函数中,其中包含两个既定的伪Jar。在未验证既定Jar的情况下,此步骤会将存入的所有DAI提取到PickleJar,并进行下一轮部署。接下来,攻击者调用earn()函数将提取的DAI部署到StrategyCmpdDaiV2中。在内部缓冲区管理中,黑客调用了三次earn()函数,在StrategyCmpdDaiV2中生成共计950,818,864.8211968枚cDAI;第一次调用earn()函数存入1976万枚DAI,铸造903,390,845.43581639枚cDAI;第二次调用earn()函数存入98.8万枚DAI,铸造45,169,542.27179081枚cDAI;第3次调用earn()函数存入4.9万枚DAI,铸造2,258,477.11358954枚cDAI;

随后,攻击者调用ControllerV4.swapExactJarForJar()函数,利用任意代码执行将StrategyCmpdDaiV2中的所有cDAI提取出来,这一步中,_execute()函数有两个参数:_target和_data,_target指的是目标地址,即图中橘色所示部分;_target是一个加白的地址,攻击者没办法任意控制此地址,此处他们利用的是CurveProxyLogic,该加白的合约(能通过262行approvedJarConverter的检查。也就是说,能被完全控制的是参数_data,即图中紫色所示部分,_data中包含_execute()函数可调用的add_liquidity()函数,以及传给add_liquidity()的所有参数。

此时,咱们回到橘色框里的curve、curveFunctionSig、curvePoolSize、curveUnderlyingIndex、underlying,其中curve是一个地址,它表示橘色框里倒数第二行中的curve.call()函数可以执行任意一个合约,因此,攻击者把curve设置成StrategyCmpdDaiV2,curveFunctionSig表示除了刚刚指定合约外,还可以指定要调用此合约的函数,通过此操作攻击者成功调用StrategyCmpdDaiV2.withdraw()函数。

接下来就是组织蓝色框中的函数StrategyCmpdDaiV2.withdraw()的参数_asset,蓝色框中的_asset实际上是橘色框框里的liquidity,liquidity由传入函数add_liquidity()的underlying得来,underlying是另一个伪造的合约地址,它的balanceOf()函数会返回cDAI的地址。攻击者将cDAI的地址设置成liquidity,然后,liquidity被打包到callData里再传给withdraw()函数,使得withdraw()函数取出的_asset就是cDAI的地址。值得注意的是,如果want==_asset,蓝色框里的函数就不执行,此设计的目的在于want是不允许被取出的,所以攻击者刻意取出对应的cDAI。

最后,执行回ControllerV4.swapExactJarForJar()函数,所提取的cDAI被存入恶意的_toJar.在_toJar.deposit()函数里,所有950,818,864.8211968枚cDAI立即转入黑客地址。

未经严格审计的DeFi能走多远?

针对此次PickleFinance被攻击事件,其审计公司Haechi发推文称,今年10月对其代码进行了一次审计,但是攻击者利用的漏洞发生在新创建的智能合约中,而不是接受安全审计的智能合约中。与此次漏洞攻击相关的代码存在于controller-v4.sol中的swapExactJarForJar,而非此前审计的controller-v3.sol中,该智能合约不包含swapExactJarForJar。

对此,PeckShield相关负责人表示:“有一些DeFi项目在做过第一次智能合约安全审计后,可能会为了快速上线主网,省略审计新增的智能合约,这种省略或能争取短时的利益,但就像此次攻击一样最终因小失大。DeFi们在上线之前一定要确保代码进行彻底地审计和研究,防范各种可能发生的风险。”

未经严格审计即上线的DeFi项目能走多远?

标签:比特币PICCDAICUR09年上大学买了5000个比特币Moon TropicaCDAI价格RENBTCCURVE价格

抹茶交易所热门资讯
TPS:对话BancorV2负责人:一个币种就可以进行流动性挖矿,质押100天100%无常损失保护_tps币行情

编译▏Damo索隆 世界上第一个尝试AMM模式的项目是Bancor,由于受困于自身的模式,Bancor在DEX市场中的份额逐渐降低.

Bancor:分析 | 从19.8%到100%,这5天谁在帮助ETH 2.0提前达成质押目标?_Your Finance

5天前,ETH2.0创世区块中存入的ETH还只占总目标的19.58%。彼时,距离ETH2.0存款合约地址发布,已经过了15天.

PIC:CNBC主持人:比特币在1.9万美元处将继续保持上涨,但回调迫在眉睫_ETHMAXY

CNBCFastMoney节目主持人BrianKelly指出了三个可能导致比特币回调的因素。 随着比特币(BTC)价格涨至1.9万美元,CNBCFastMoney主持人BrianKelly认为有.

EFI:估值43亿美元,DCG是否能成为加密行业下一个大型IPO?_DAISY币

任何公司或实体的“上市”过程都可以最好地描述为成功的顶峰,而这项成就需要更多的资金才能保持成功.

ATM:数据:2020年全球加密ATM机数量大幅增长_COIN

2013年,一家名为Robocoin的公司在温哥华的一家咖啡店放置了一台机器,世界上首次出现了比特币ATM机.

OIN:香港财政司司长:若数字人民币能应用于跨境支付,可促进香港与内地互联互通_ATM币

本文来源:中国新闻网 香港特区政府财政司司长陈茂波23日在出席一场论坛时表示,若数字人民币能应用于跨境支付,将可进一步促进香港与内地,尤其是粤港澳大湾区的互联互通.