11月21日,當人們還在熟睡之時,駭客攻擊DeFi協議Pickle Finance(酸黃瓜),撈得近2000萬美元的DAI。
就Pickle Finance因漏洞損失近2000萬美元一事,白帽駭客、DeFi Italy 聯合創始人Emiliano Bonassi表示,攻擊者部署了“邪惡 Jar ”,這是一種具有傳統Jar的相同介面、但是卻作惡的智慧合約。隨後,攻擊者在他的“邪惡 Jar”和真正的cDAI Jar之間交換了資金,偷走價值2000萬美元的存款。
Pickle Finance是一個去中心化金融(DeFi)協議,Pickle Finance將投資者的資金圍繞不同的DeFi協議進行轉移,以實現收益最大化。
據悉,今年9月10日酸黃瓜Pickle Finance啟動流動性挖礦,9月14日V神發推文讚賞該專案,使其代幣價格暴漲10倍。而遭到此次攻擊後,酸黃瓜損失近價值2000萬的DAI,同時24小時內其代幣腰斬。
資料顯示, Pickle Finance代幣(Pickle)的價格在24小時內,從22.7美元跌到10.2美元,它的市值24小時內蒸發了1220萬美元。
11月22日,Pickle Finance發推稱,有報道說我們的DAI PickleJar策略已被利用。我們正在積極調查此事,並將提供進一步的更新。我們鼓勵所有LP從Jar中提取資金,直到問題得到解決。
針對此次 Pickle Finance(酸黃瓜)被攻擊事件,其審計公司Haechi發推文稱,今年 10 月對其程式碼進行了一次審計,但是攻擊者利用的漏洞發生在新建立的智慧合約中,而不是接受安全審計的智慧合約中。與此次漏洞攻擊相關的程式碼存在於 controller-v4.sol中的swapExactJarForJar,而非此前審計的controller-v3.sol中,該智慧合約不包含swapExactJarForJar。
對此,PeckShield相關負責人表示:“有一些DeFi專案在做過第一次智慧合約安全審計後,可能會為了快速上線主網,省略審計新增的智慧合約,這種省略或能爭取短時的利益,但就像此次攻擊一樣最終因小失大。DeFi們在上線之前一定要確保程式碼進行徹底地審計和研究,防範各種可能發生的風險。”
未來金融界最偉大的團隊,將是那些能夠在快速迭代和安全迭代之間進行權衡的團隊,其能夠定期對其可組合的貨幣機器人進行持續審計和嚴格測試。
審計應該是一個定期的、持續的過程,而不是在啟動前打勾。新的DeFi協議會不斷變化和適應,而安全審計應反映這一點。
畢竟,醃黃瓜只有在罐子裡才能保持新鮮...
