比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BNB > Info

假錢換真錢,揭秘 Pickle Finace 被黑過程_DAI

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,2020年11月22日,以太坊DeFi項目PickleFinance遭受攻擊,損失約2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程

1、項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的jar合約地址進行代幣的兌換,其中的_fromJar,_toJar,_fromJarAmount,_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI

馬斯克:未來幾周將開源幾乎所有有助于顯示推文的源代碼:金色財經報道,伊隆·馬斯克在社交媒體上宣布,推特的推薦源代碼現在已經在GitHub上向所有人開放,推特將根據用戶建議每隔24-48小時更新一次推薦算法,在接下來的幾周內,推特將開源幾乎所有有助于顯示推文的源代碼,以便至少可以粗略估計輸出。[2023/4/2 13:40:07]

2、使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI,。

幣安靈魂綁定代幣BAB有效鑄造總量突破50萬枚:11月20日消息,Dune數據顯示,幣安靈魂綁定代幣BAB有效鑄造總量突破50萬枚,截至目前為500,624枚。BAB累計鑄造總量達到534,081枚,其中33,457枚已撤銷。[2022/11/20 22:09:11]

3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI

BTC活躍3年以上供應百分比達歷史新高:金色財經消息,據Glassnode數據顯示,BTC供應百分比最近活躍3年以上達到歷史新高,其ATH為38.507%。[2022/9/3 13:06:47]

4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利

總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。

Tags:JARDAIROMOJAJARED價格DAISY幣KROM價格wojak幣發行時間

BNB
谷燕西:BTC正成為一個為市場接受的交易產品,長期上漲是一個大概率事件_比特幣交易

12月11日,針對MicroStrategy發債5.5億美元用來購買比特幣,區塊鏈和加密數字資產研究者谷燕西發表專欄文章稱,MicroStrategy只是比別的機構更加激進大膽.

1900/1/1 0:00:00
Aave投資入股Aavegotchi開發團隊Pixelcraft Studios_TCH

去中心化借貸協議Aave宣布投資NFT收藏品游戲Aavegotchi的開發團隊PixelcraftStudios,投資金額未披露.

1900/1/1 0:00:00
Cornerstone策略師:加密貨幣可以緩和股票波動性_CCO

CornerstoneMacroLLC表示,對于交易員來說,在最近一個過山車行情年度里,希望對抗股市劇烈波動的投資者現在可以考慮加密貨幣的穩定化影響.

1900/1/1 0:00:00
全國首個省級文旅公鏈“黃河鏈”落地應用_比特幣

“中國文化與旅游產業區塊鏈發展峰會暨山西省黃河鏈推廣應用示范展示大會”日前在太原舉行。會上,隨著全國首個省級文旅公鏈“黃河鏈”的落地應用,山西洪洞大槐樹尋根祭祖園景區“尋根游”正式啟動上線,成為.

1900/1/1 0:00:00
慢霧:技術簡析 OUSD 損失 700 萬美金事件_OUSD

據慢霧區情報,2020年11月17日,以太坊DeFi項目OUSD遭受閃電貸攻擊。慢霧安全團隊于第一時間跟進并進行相關分析。以下是慢霧安全團隊針對本次攻擊的簡要分析。攻擊過程詳細分析會在稍后發布.

1900/1/1 0:00:00
Tokenview:灰度信托加密貨幣數據報告_TOK

灰度投資自2013年9月推出灰度比特幣信托以來,已逐漸將其信托加密數字貨幣業務拓展至BTC、ETH、ETC、LTC、BCH、XRP、ZEC、ZEN、XLM共計10個信托產品.

1900/1/1 0:00:00
ads