今(22)日凌晨時分,DeFi 協議 Pickle Finance 在官方推特表示,新聚合器「DAI PickleJar」遭駭,雖然官方至今仍在調查,但鍵盤柯南已經推敲出整起事件,並推測 Pickle Finance 約損失了 1,970 萬美元。截稿前,Pickle Finance 治理代幣 PICKLE 已從 22.6 美元暴跌至 8.9 美元,跌幅高達 60%。
(前情提要:最慘打臉!Value DeFi 宣稱「可防閃電貸」隔天被駭600萬,駭客留言:你們真的懂閃電貸?)
繼 Harvest Finance、Value DeFi 等 DeFi 項目遭駭之後,曾受 V 神盛讚的 DeFi 協議 Pickle Finance 也於今日傳出災情。根據 Ethersacan 數據,Pickle Finance 昨(21)日才剛上線新聚合器「DAI PickleJar」,不到一天時間,就被駭客發現智能合約的漏洞,移轉出全部的 cDAI,遭駭客盜走了 1,970 萬美元。
這件事情很快被社群發現。DeFi 工具 Mindful 的共同創建人(Co-Creator)Mattyb 率先發現了 DAI PickleJar 聚合器內的穩定幣 cDAI 遭移走。
– 圖片來源:@mattybchat 推特 –
隨後,官方也在推特確認了遭駭事實。
報告指出,我們的 DAI PickleJar 被駭,我們正在努力調查,有新消息將會隨時更新。
There are reports that our DAI PickleJar strategy has been exploited. We are actively looking into this matter and will provide further updates.
— Pickle Finance 🥒 (@picklefinance) November 21, 2020
延伸閱讀:10億美元危險了!DeFi超級明星「Harvest」遭遇閃電貸,Farm一小時暴跌60%
延伸閱讀:技術詳解|DeFi 穩定幣項目 OUSD 遭「重入攻擊」,損失高達 770 萬美元
為何被駭?
目前官方並沒有公佈遭駭的詳細過程,不過,鍵盤柯南似乎已經將整起事件整理完成。
自稱是白帽駭客的 DeFi Italy 創辦人在推特指出,不同於先前的駭客利用閃電貸攻擊,這次主要是利用 DAI PickleJar 的漏洞。
駭客攻破了 Pickle Finance 合約中的「swapExactJarForJar 函數」,製造了一個惡意的「Jar」(每個 Jar 類似於一個 Yearn 聚合器),接著將資金從最近部署的 DAI PickleJar 協議中,將總價值約 1,970 萬的 cDAI 轉移到了至駭客的惡意 Jar 協議中
駭客在部署自己的 Jar 協議同時,也攻擊『swapExactJarForJar』函數,在協議中執行批准(approve)、提領(withdraw)等命令。
Evil jars deployed during the attack and passed in the swapExactJarForJar, investigating more on thishttps://t.co/szRloiecV8https://t.co/l2xT4zhQB1
The are sensible ops executed in that method (e.g. approve, withdraw etc). pic.twitter.com/29RNkF4vJb
— Emiliano Bonassi | emiliano.eth (@emilianobonassi) November 21, 2020
罐子破了,酸黃瓜暴跌 60%
消息傳出後,Pickle Finance 的治理代幣 PICKLE 就開始暴跌。從 22.6 美元暴跌至最低 8.6 美元,跌幅超過 60%。截稿前,PICKLE 代幣在 CoinCecko 的報價為 8.89 美元。
– 圖片來源:CoinCecko –
近期的 DeFi 協議似乎已經開始暴露出缺點:智能合約漏洞讓遭攻擊的可能性大幅提高,包括近期的閃電貸攻擊。統計下來,近期遭駭的 DeFi 項目,損失總額高達 4,530 萬美元。包括 Harvest Finance 損失 3,400萬 美元、 Cheese Bank 損失 330 萬美元、Akropolis 200 萬美元,Value DeFi 的 600 萬美元。
不僅如此,由於 DeFi 要獲得最大收益,必須和其他平台串連。然而在創造出「極大化」收益的同時,只要有一個 DeFi 協議出現漏洞,就有可能會起連鎖反應。
此外,由於真實遭駭原因尚在調查中,且也不確定其它 PickleJar 是否安全無虞,因此 Pickle Finance 官方希望流動性提供者能暫時將資產移走。
我們鼓勵所有流動性提供者在事情水落石出前,將資金先暫時移走。
We’re encouraging all LPs to withdraw their funds from the Jars until the issues have been resolved.
— Pickle Finance 🥒 (@picklefinance) November 21, 2020
📍相關報導📍
專欄|Harvest 攻擊者的上億「洗錢工具」: Incognito 賦予DeFi「無痕模式」提供跨鏈隱私
DeFi 再傳「閃電貸攻擊」事件!Origin Dollar遭駭700萬美元,穩定幣OUSD跌逾 85%
DeFi|Compound「分叉項目」近100萬美元資產意外遭凍結,肇因開發者錯誤更新合約
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
