PIC:Pickle Finance遭攻击损失近2000万美元DAI，未经严格审计的DeFi路在何方？_CDAI价格

这一周，“科学家”们很忙。11月14日，黑客攻击ValueDeFi的MultiStablesVault池子，获得近740万美金的DAI；11月17日，黑客攻击OriginProtocol凭空铸造2050万枚OUSD。

今天凌晨2时37分，当人们还在熟睡之时，黑客攻击DeFi协议PickleFinance，捞得近2000万美元的DAI。加密货币再次登上央视DeFi沦为“科学家”的提款机？

11月18日，比特币冲击18,000美元，加密货币再次登上央视，此前，加密货币被誉为去中心化的金融工具首次登上央视。

SBF曾领投的人工智能公司Anthropic将获3亿美元新融资:1月31日消息，两位知情人士表示，人工智能初创公司Anthropic即将筹集大约3亿美元的新资金，完成后Anthropic的估值约为50亿美元，但最终估值并未确定。

据悉，Anthropic成立于2021年，2021年获1.24亿A轮融资，2022 年获得由 FTX 前首席执行官 SBF 领投的 5.8 亿美元融资，根据彭博社的一篇文章，FTX/Alameda或已经向Anthropic投资了5亿美元，其此前披露的资产负债表上的一个5亿美元条目是“Anthropic”。随着ChatGPT的大热，人工智能赛道成为融资热点，但目前尚不清楚SBF与Anthropic的具体关联。[2023/1/31 11:38:03]

传Pico将在4个月内发布新品，直接对标Meta Project Cambria:金色财经报道，据业内传闻，Pico计划在9月之前发布一款高端VR头显。据悉，字节跳动旗下的新品计划与Meta的新品具备极高的相似性，发布时间早于Meta的Project Cambria项目。与Cambria一样，Pico的高端头显显然将使用pancake镜头以实现更轻薄的外形，并具有更高的分辨率、眼动追踪、面部追踪和先进的控制器。环状跟踪手柄有利于搭载摄像头捕捉交互的方案。据悉，该产品的硬件成本将“远高于”Pico Neo3，后者于上周宣布以449欧元向欧洲消费者推出。（网易）[2022/4/21 14:38:25]

据央视报道，从投资回报率的角度来看，加密货币是今年真正的“头号”投资产品。“彭博银河加密货币指数”上涨约65%，超过金价逾20%的涨幅，也超过全球股市、债市和大宗商品市场的收益率。涨幅较高的一个关键原因是以太坊币价暴涨，涨幅达到169.40%。央视解释道：“以太坊币价格攀升得益于去中心化金融工具的使用增加，以及疫情肆虐后各国出台的巨额刺激措施，让投资者选择了比特币、以太坊等加密货币进行保值。”一方面，加密货币市场频频发出利好消息；另一方面，DeFi项目因未经严格审计频遭攻击。据悉，今年9月10日酸黄瓜PickleFinance启动流动性挖矿，9月14日V神发推文赞赏该项目，使其代币价格暴涨10倍。而遭到此次攻击后，酸黄瓜损失近价值2000万的DAI，同时24小时内其代币腰斩。CoinmarketCap数据显示，PickleFinance代币的价格在24小时内，从22.7美元跌到10.2美元，它的市值在未销毁的情况下，24小时内蒸发了1220万美元。

Sundar Pichai：谷歌母公司Alphabet云团队将使用区块链支持客户需求:金色财经报道，当地时间本周二（2月1日），谷歌和 YouTube 母公司 Alphabet举行了电话财报会议，其中重点研究了Web 3和区块链技术融合问题。Alphabet首席执行官Sundar Pichai 表示，目前他们有两个感兴趣的领域，一个是增强现实，另一个是如何使用区块链技术为YouTube 和谷歌地图之类的计算和服务层提供动力。

Sundar Pichai称区块链是“一种具有广泛应用的、有趣且强大的技术”，目前Alphabet云团队正在研究如何通过基于区块链的平台“支持客户需求”，并将区块链技术应用在组织客户服务请求等方面。[2022/2/2 9:27:36]

矿机生产商 ePIC Blockchain 完成 750 万美元 A 轮融资:Coindesk报道，总部位于多伦多的矿机生产商ePICBlockchain完成750万美元A轮融资。ePICBlockchain表示，将使用该笔资金为北美地区生产ASIC加密矿机。[2021/4/15 20:21:54]

发生了什么？

PeckShield通过追踪和分析发现，攻击者通过StrategyCmpdDaiV2.getSuppliedUnleveraged()函数查询资产余额1972万美元；随后，攻击者利用输入验证漏洞将StrategyCmpdDaiV2中的所有DAI提取到PickleJar：这个漏洞位于ControllerV4.swapExactJarForJar()函数中，其中包含两个既定的伪Jar。在未验证既定Jar的情况下，此步骤会将存入的所有DAI提取到PickleJar，并进行下一轮部署。接下来，攻击者调用earn()函数将提取的DAI部署到StrategyCmpdDaiV2中。在内部缓冲区管理中，黑客调用了三次earn()函数，在StrategyCmpdDaiV2中生成共计950,818,864.8211968枚cDAI；第一次调用earn()函数存入1976万枚DAI，铸造903,390,845.43581639枚cDAI；第二次调用earn()函数存入98.8万枚DAI，铸造45,169,542.27179081枚cDAI；第3次调用earn()函数存入4.9万枚DAI，铸造2,258,477.11358954枚cDAI；

随后，攻击者调用ControllerV4.swapExactJarForJar()函数，利用任意代码执行将StrategyCmpdDaiV2中的所有cDAI提取出来，这一步中，_execute()函数有两个参数：_target和_data，_target指的是目标地址，即图中橘色所示部分；_target是一个加白的地址，攻击者没办法任意控制此地址，此处他们利用的是CurveProxyLogic，该加白的合约，然后，liquidity被打包到callData里再传给withdraw()函数，使得withdraw()函数取出的_asset就是cDAI的地址。值得注意的是，如果want==_asset，蓝色框里的函数就不执行，此设计的目的在于want是不允许被取出的，所以攻击者刻意取出对应的cDAI。最后，执行回ControllerV4.swapExactJarForJar()函数,所提取的cDAI被存入恶意的_toJar.在_toJar.deposit()函数里,所有950,818,864.8211968枚cDAI立即转入黑客地址。未经严格审计的DeFi能走多远？

针对此次PickleFinance被攻击事件，其审计公司Haechi发推文称，今年10月对其代码进行了一次审计，但是攻击者利用的漏洞发生在新创建的智能合约中，而不是接受安全审计的智能合约中。与此次漏洞攻击相关的代码存在于controller-v4.sol中的swapExactJarForJar，而非此前审计的controller-v3.sol中，该智能合约不包含swapExactJarForJar。对此，PeckShield相关负责人表示：“有一些DeFi项目在做过第一次智能合约安全审计后，可能会为了快速上线主网，省略审计新增的智能合约，这种省略或能争取短时的利益，但就像此次攻击一样最终因小失大。DeFi们在上线之前一定要确保代码进行彻底地审计和研究，防范各种可能发生的风险。”未经严格审计即上线的DeFi项目能走多远？

标签：VIDPICCDAIDEFIvidt币局pickle币最新消息CDAI价格DeFiSocial Gaming

比特币价格实时行情热门资讯