Pickle Finance被盜2000萬美元的啟示

買賣虛擬貨幣

注:本週六,defi協議pickle finance因其jar策略中存在的漏洞,而被駭客盜走了2000萬美元,此後,由rekt、stake capital 團隊成員、samczsun等白帽駭客組成的臨時小隊對pickle協議內剩餘易受攻擊的5000萬美元使用者資金進行了搶救,作者rekt對這次事件進行了總結。

金融的發酵還在繼續,即使是酸黃瓜也有保質期。

pickle finance因為一個假“pickle jar”漏洞而被駭客盜走了1970萬dai。

pickle finance已成為了這次駭客大流行病的最新受害者。

然而,這一次,有一些不同...

當twitter上的人們試圖接受另一次金融災難時,rekt 開始了調查。

我們聯絡了stake capital 團隊,他們檢視了程式碼並警告我們其他pickle jar可能面臨風險。

隨後,我們迅速聯絡了pickle finance團隊,並在sketch capital(@bneiluj,@vasa_developer)成員以及有經驗的開發者@samczsun,@emilianobonassi之間建立了一個作戰室。

在我們進行調查後,很明顯,我們看到的是與最近幾周的defi樂高風格駭客事件非常不同的東西。

這不是一次套利

攻擊者對solidity和evm有著很好的瞭解,並且可能已經密切關注了一段時間的yearn程式碼,因為這個漏洞與一個月前在yearn中發現的漏洞類似。

從本質上說,pickle jar就是yearn yvaults的分叉,這些jar是由一個名為the controller的合約控制的,該合約具有允許使用者在jar之間交換資產的功能。

不幸的是,pickle並沒有設定白名單允許哪個jar使用這個交換功能。

駭客製造了一個假的pickle jar,並交換了原jar中的資金。這是有可能的,因為swapexactjarforjar沒有檢查“白名單”jar。

pickle finance團隊知道他們需要幫助,並非常願意與其他人合作,以防任何進一步的損害。

pickle曾試圖呼叫“withdrawall”函式,但這筆交易失敗了。

這個取款請求需要透過治理dao,而這存在12個小時的時間鎖(timelock)。

只有一個pickle多重簽名組的成員有能力繞過這個時間鎖,而當時他們正在睡覺。

這意味著管理者無法清空pickle jar,但這並不能保護他們免受另一次駭客攻擊。

隨後,pickle finance和curve發出警告,要求使用者立即從pickle中提取資金,然而,潛在易受攻擊的pickle jar中還有5000萬美元,而白帽團隊調查了這一漏洞,並檢查了剩餘資金的安全性。

救援小隊要麼叫醒睡著的管理員,要麼自己抽乾這些jar內的資金。

這個小隊必須克服5大挑戰:

  1. 讓pickle finance團隊跨多個時區聚集在一起,透過將交易推到12小時時間鎖(透過6個多重簽名中的3個)提取資金,以拯救這些資金;
  2. 讓成千上萬的投資者提出他們的資金(並阻止他們在資金池tvl下降和apy膨脹到1000%以上時再進行再投資);
  3. 對其他jar進行安全檢查,看看是否有可能發生更多攻擊;
  4. 在任何人再次攻擊這些jar之前,複製這種攻擊,將資金轉移出來;
  5. 在試圖挽救剩餘的5000萬美元資金時,避免被搶先交易;

我們還能繼續依賴偽匿名白帽駭客的幫助多久?

顯然,與保護者相比,攻擊者的動機更為一致,那白帽駭客為什麼要協調這樣一次艱苦的反擊?

榮譽歸白帽,資金卻歸駭客,這是不可持續的

要讓這些白帽變黑,還需要多久時間?


分析


透過釋出這些技術資訊,我們意識到我們可能會引發新的駭客攻擊。我們與pickle finance及其他開發人員討論了潛在的後果,並確認我們不知道pickle的任何運營分叉可能會受到模仿攻擊的影響。

選擇性披露會帶來責任的一個方面,所以我們決定自由釋出這些資訊。如果有任何協議在執行pickle的程式碼分叉,他們應該要意識到正在發生的事件,並採取預防措施來防止駭客模仿者。

下面的圖表是由@vasa_develop建立的。


原始檔案可以在這裡找到。

關於更多詳情,請參閱此處官方的調查報告。

看看相對較新的保險協議cover protocol如何處理這一事件是有趣的,這對他們的第一筆索賠來說是一筆巨大的金額。你可以在這裡找到保險索賠的快照投票。

醃漬酸黃瓜是一個緩慢的過程。

幾十年來,“敏捷開發”的倡導者一直在告訴開發人員,要快速行動,迅速失敗,併發布最小的可行產品。

這些想法不適合在敵對環境中建設。

在defi中迅速失敗是要付出巨大代價的

我們不需要另一種方法,我們需要一個正規化轉換,允許快速迭代,同時減少被攻擊的可能性。

我們不要再認為“擁有審計就擁有了安全的保證”,在大多數情況下,它是應用於移動目標的檢查表式安全措施的快照,這些目標通常在專案進入主網後不久就演變成了其他東西。

mixbytes(10月3日)和haechi(10月20日)的審計是在新增controllerv4(10月23日)之前完成的,而controllerv4是這次攻擊的關鍵向量之一。

未來金融界最偉大的團隊,將是那些能夠在快速迭代和安全迭代之間進行權衡的團隊,其能夠定期對其可組合的貨幣機器人進行持續審計和嚴格測試

審計應該是一個定期的、持續的過程,而不是在啟動前打勾。新的defi協議會不斷變化和適應,而安全審計應反映這一點。

畢竟,醃黃瓜只有在罐子裡才能保持新鮮...

本文連結:https://www.8btc.com/article/671848


免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;