В очередной атаке на крупный протокол децентрализованного финансирования (DeFi) сегодня был использован сельскохозяйственный проект Pickle Finance на сумму 20 миллионов долларов.
В атака Это произошло примерно два часа назад, и опытные пользователи Твиттера ETH быстро заметили, что банка cDAI в pickle – термин Пикла для доходного хранилища – опустела:
Я думаю @picklefinancejar cDAI только что атаковали и опустошили. https://t.co/Lxwi2dWSSZ pic.twitter.com/nUBE1KjEPh
– mattyb (@mattybchats) 21 ноября 2020 г.
Однако, в отличие от других недавних атак, этот конкретный эксплойт не использовал flashloans – все более злонамеренный инструмент DeFi, который позволяет потенциальным эксплуататорам дополнительную ликвидность для манипулирования ценами в сети. Вместо этого этот хакер обменял средства между вредоносным контрактом подражания и jar cDAI.
В интервью Cointelegraph Эмилиано Бонасси – самопровозглашенный хакер whitehat и соучредитель DeFi Italy – объяснил, что злоумышленник создал «злые банки», смарт-контракты, которые «имеют тот же интерфейс, что и традиционные банки, но делают плохие вещи. ”
Затем злоумышленник поменял местами свою «злую банку» и настоящую банку cDAI, получив 20 миллионов долларов на депозитах.
Злые банки, развернутые во время атаки и переданные в swapExactJarForJar, исследуют этот вопрос подробнее.https://t.co/szRloiecV8https://t.co/l2xT4zhQB1
Это разумные операции, выполняемые этим методом (например, одобрение, отзыв и т. Д.). pic.twitter.com/29RNkF4vJb
– Эмилиано Бонасси | emiliano.eth (@emilianobonassi) 21 ноября 2020 г.
В частности, после атаки на Harvest Finance, компания Pickle Finance надеялась стать одним из выдающихся протоколов ведения сельского хозяйства. На момент публикации статистический веб-сайт Pickle сообщил, что общая заблокированная стоимость в бухгалтерских книгах составляет почти 75 миллионов долларов, в то время как цена на pickle, управляющий токен Pickle Finance, упала на 50% за день до 11,16 долларов.
Проблемы Pickle Finance – лишь последнее проявление тревожной тенденции в пространстве DeFi. Последние жертвы эксплойтов всего за последние несколько недель включают, среди прочего, Harvest Finance, Value DeFi, Akropolis, Cheese Bank и Origin Dollar.
Возможно, однако, уязвимости одной вертикали DeFi могут привести к успеху другой. Один трейдер из Twitter сказал:
Аудит безопасности – это мем.
Новый «аудит» получит надлежащее страховое покрытие.$ Nsure $ Обложка
– Cope_Infinitum (@CryptoMessiah) 21 ноября 2020 г.