Wie der YFI-Konkurrent Pickle Finance für Ethereum-Stallmünzen im Wert von 20 Mio. USD genutzt wurde

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Nennen wir es einen Hack oder einen Exploit. Gestern gelang es einem unbekannten Angreifer, 20 Millionen US-Dollar von einem auf Ethereum basierenden Ertragsaggregator namens Pickle Finance in seine eigene Adresse zu fließen.

Dieser Angriff war jedoch ganz anders und viel komplexer als die vorherigen DeFi-Exploits, sodass einige fragen mussten, ob es sich um einen Insider-Hack handelte.

Was ist Pickle Finance?

Pickle Finance wurde mitten in der Foodcoin-Begeisterung des Sommers ins Leben gerufen, in der Entwickler sowohl absurde Food-Projekte als auch coole Projekte mit Food-Branding (zum Beispiel Yam) veröffentlichten. Pickle fiel in die letztere Kategorie.

Zunächst wurde es gestartet, um zu versuchen, den Preis von Off-Peg-Stallmünzen wieder auf ihre Bindung zu bringen: Das Protokoll würde billigeren Stallmünzen mehr Belohnungen für die Landwirtschaft bieten und den Stallmünzen, die über der Dollar-Bindung lagen, weniger bieten.

Es schien zu funktionieren, mit MakerDAOs DAI, der zu diesem Zeitpunkt bei 1,03 USD oder 1,04 USD gehandelt wurde und in Richtung 1,02 USD nach unten ging.

Seit diesen Anfängen hat sich Pickle Finance zu einem Ertragsaggregatorprojekt entwickelt, ähnlich wie Yearn.finance (YFI).

Ein Ertragsaggregator ist ein Projekt, das die besten Ertragsprojekte findet und dann die Einlagen optimiert, um den Ertrag zu maximieren.

Der Hack

Gestern gegen Mittag bemerkten die Benutzer eine verdächtige Transaktion mit Pickles pDAI Jar oder die Strategie, mit der DAI Ertragslandwirtschaftsbelohnungen verdient.

Dashboards zeigten an, dass das Glas für 20 Millionen US-Dollar geleert wurde, obwohl es zu diesem Zeitpunkt keine Ankündigung oder Admins auf Discord, Twitter oder Telegram gab, gab es Verwirrung darüber, was passiert war.

Es wurde schnell angenommen, dass es sich um einen Angriff handelte: Der Benutzer, der diese verdächtige Transaktion getätigt hatte, hatte nichts mit dem Pickle Finance Deployer zu tun und finanzierte sein Konto mit 10 ETH von Tornado Cash, einem Mixer, der die Ursprünge von Ethereum verschleiert.

Die anfängliche Analyse des Angriffs war leicht; Dieser war viel komplizierter als frühere Angriffe, die Flash-Kredite und Preismanipulationen beinhalteten. Dieser schien fehlerhafte Teile von Pickles Code auf äußerst clevere Weise ausgenutzt zu haben.

Nachdem sich einige Stunden lang Theorien herumgesprochen hatten, bemerkten die Benutzer etwas Verdächtiges an der Funktion swapExactJarforJar im Pickle Finance-Controller-Vertrag.

Kluger Vertragsingenieur Emiliano Bonassi erklärt Der Angreifer setzte ein böses Glas ein, das wie das ursprüngliche aussah, und tauschte dann das Geld im ursprünglichen Pickle Finance-Glas gegen ein eigenes aus. Es gab keine Überprüfung, die verhinderte, dass diese Swap-Funktion von einer Nicht-Administrator- / Governance-Adresse verwendet wurde, und keine Überprüfung, ob das zu tauschende Jar von der Governance / Timelock genehmigt wurde.

Weitere Analyse war erledigt von Vasa, einem Blockchain-Ingenieur und Schriftsteller.

Hayden Adams, Gründer von Uniswap, antwortete auf den Vorfall mit der Feststellung, dass es gut sei, sich daran zu erinnern, dass "komplizierte" Defi-Hacks immer noch sehr vermeidbar sind. " Er fügte hinzu, dass es wichtig ist, dass Entwickler viel "Liebe und Mühe in die Benutzersicherheit" stecken.

Die Entwickler von Pickle Finance haben allen Benutzern empfohlen, vorerst Geld abzuheben, da befürchtet wird, dass der Exploit mit den auf der Plattform verbleibenden Millionen wiederholt werden kann.

Gefällt dir was du siehst? Abonnieren Sie tägliche Updates.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close