当前位置:首页区块链yfi能挽救酸黄瓜的衰落吗?

yfi能挽救酸黄瓜的衰落吗?

11月24日晚上,DeFi协议Pickle Finance宣布并入Yearn.finance,从目前来看,这或许是Pickle应对黑客攻击的最好解决方案。

11月24日晚,pickle Finance宣布合并渴望财务目前,这可能是pickle解决黑客攻击的最佳方法。

根据yfi创始人andrecronje的文章,pickle和year的开发人员设计了一种结构,使这两个项目能够协同工作。合并的目的是减少重复工作,增加专业化和分享专门知识。

为什么泡菜和年份合并了?21日,由于pickle的漏洞,pickle损失了近2000万美元的Dai,pickle使用了涉及pickle的Dai pjar策略,通过Dai存款获得利润。攻击发生后,一群白帽黑客与pickle团队(包括year的核心开发人员)进行了接触和密切合作。

受pickle攻击的影响,pickle代币从23.27美元跌至8.70美元的低点,跌幅达62%。后期,基于泡菜团队的积极行动,价格开始逐步回调。受pickle和year合并消息的影响,股价在攻击后直接反弹至最高点20.1美元。

01

攻击回顾

首先,什么是泡菜?Pickle是一种收入聚合服务,通过向以太坊、其他稳定币或其本地数字资产选择器支付利息和代币,奖励为其各种稳定币池提供流动性的用户。腌菜价格的不断锚定有助于稳定目标。

9月10日,pickle正式启动流动性挖矿。之后,V神也称赞了泡菜,这让代币价格暴涨了10多倍,从6美元直接涨到80多美元。

21日的袭击导致泡菜损失近2000万戴。同时,10小时内,其代币选取器的价格从23.27美元跌至8.7美元,市值蒸发近1500万美元。

yfi能挽救酸黄瓜的衰落吗?

来源:coingecko

针对腌菜遭受攻击的原因,简要介绍了慢雾技术。综上所述,攻击者通过调用控制器合同中的swapexactjarforjar函数从jar和Tojar的合同地址进行伪造,通过转移假币换取合同中的真实Dai,完成了攻击获利。具体分析如下:

1锻造罐子,设定合同提取的Dai编号

项目控制器合约中的swapexactjarforjar函数允许传入两个任意的jar合约地址进行代币交换fromJar、toJar、fromJarAmount、Tojarminamount是一个可以由用户控制的变量,可以由用户从jar和_uTojar填充它们的地址_uFromjarAmount是攻击者提取合同,约2000万戴。

2代币:合同里的戴

在使用swapexactjarforjar函数进行交换的过程中,通过_fromjar contract进行转换,Tokar contract的token()函数得到相应的token,用于指定要交换的资产。而且由于攻击者传入了_FromJar contract和_Uthe tojar contract,所以使用token()函数获得的值也可以控制_FromJar contract,U由tojar合同获得的代币是Dai。

3交换发生时,传递真、假代币

在这种情况下,攻击者从一个合同转移到另一个合同中,因为这个合同的金额是由攻击者控制的。同时,因为来自_u的契约从fromjar契约中获得的token是Dai。然后合同将判断合同中的资金是否足够交换。否则,将从策略池中赎回一定数量的代币,并将其转移到控制器合同中。在这次进攻中,傣族在合同中是不够交换的。此时,合同将提议从策略池中获得的份额不足,以弥补攻击者设置的2000万Dai。

继续交换

如果交换继续,控制器契约将调用fromjar的whithraw函数,丢弃攻击者在第三步输入的假ptoken burn,然后判断当前契约tojar契约中指定的token余额是多少,tojar契约中指定的token是Dai。控制者合同将判断合同中剩余Dai的数量。此时,由于控制人合同第三步累计2000万Dai,因此Dai余额为2000万。

5Dai被转移到攻击者控制的合同中,利润完成

此时,控制器契约调用_jar契约的deposit函数将2000万Dai传输给tojar契约中的攻击者控制的。此时,攻击者完成获利。

值得注意的是,这与几天前发生的闪贷套利不同。这不是套利事件,因为导致pickle被攻击的漏洞与一年前发现的漏洞类似。

02

多方反应

漏洞攻击发生后,pickle的官方团队反应相当迅速,与一群白帽黑客合作研究情况,防止进一步损失,并在Twitter和媒体上表示,将实时更新调查结果。

yfi能挽救酸黄瓜的衰落吗?1

图片来源:pickle twitter

由于泡菜坛子里还有5000万美元可能受到攻击,泡菜官方一小时后发出紧急警告,鼓励所有LP(即农民)从罐子中提取资金,直到问题解决。

23日晚,泡菜官方表示,他们已经执行了时间锁,取消了非法代码,并追回了一些坛子存款,但强调钱暂时不应该存入戴罐。

24日早些时候,pickle的官方微博称,正在与几家区块链分析公司合作,追踪攻击中损失的资金。虽然依靠这些措施弥补损失的可能性很小,但官方不会发行任何借据代币(借据代币可以提供部分现金流和补偿性质押池奖励发放),这不会阻碍协议本身的发展。

24日晚,year创始人Andre cronje写道,pickle和year的开发人员设计了一个结构,使这两个项目能够协同工作。两人正式合并,并出现了相对满意的结果。

虽然官方在攻击发生后两天内的反应和行动都很及时,但2000万美元的损失已经造成,许多用户在twitter上抱怨损失惨重。其中,CNBC的主持人兰诺伊纳也是受害者之一。他自称是皮克钱的大户。他无法原谅2000万美元的失窃,但他选择相信皮克会恢复元气。

另外,基于泡菜坛子是年份伊沃的分歧,而年也曾有过类似的漏洞,这引起了很多争议。袭击发生后不久,year官方不得不正面回应,称当年没有任何资金存放在pickle金融产品中,yvaults也没有受到最近pickle finance被盗事件的影响。

03

两者结合在一起

24日晚,安德烈·克罗涅写道,泡菜和年份将合作,这意味着年份已经接管了泡菜的烫手山芋。

yfi能挽救酸黄瓜的衰落吗?2

来源:Twitter

合并的要点如下:

1泡菜罐和年份V2金库合并;

2Pickle引入奖励措施,Pickle释放仍然存在,代币通过奖励games分发;

3年金库储户可以通过将他们的金库股票储存在量具中获得额外奖励;

4Pickle治理参与者在设定的截止日期锁定Pickle以获得投票权和dill;

5年金库可以通过锁定泡菜获得dill,获得额外奖励,最高可达2.5倍。他们持有的莳萝越多,回报就越大;

6量规的存、取、履行和协议费用归dill持有人所有;

7一个新的标记Cornichon跟踪最近的震击器攻击造成的伤害,按比例分配给受害者。

从本质上讲,泡菜罐是伊沃的一个分支。年一直视泡菜为“弟弟”的存在。攻击事件发生后,年内核心开发者正积极与pickle合作。看来泡菜会被纳入今年。在外界看来,两人的合作是双赢的。

pickle和year社区也非常支持合并,但也引起了更多用户对去中心化的怀疑。因为在这次合并中,泡菜和年份社区都没有发言权。今年的traceopteryx直接表明不投票的原因是没有什么可以投票的。

必须承认的是,核心开发者在开发多个DeFi项目时确实拥有核心发言权。当然,在这种情况下,pickle选择与year合并,确实是拯救pickle、实现社会利益最大化的最佳选择。

04

摘要

兰·诺伊纳在推特上说,“每一次黑客攻击,每一个漏洞都让德法变得更强大”,但这是真的吗?一个月前,类似的漏洞被警告,一个月后,pickle因为类似的漏洞损失了近2000万美元。

对于已经开展安全审计的泡菜来说,这样的漏洞也让泡菜深陷舆论。与此同时,安全审计公司的审计业务和DeFi的安全问题再次引起了用户的热议。

曾对pickle进行过安全审计的审计公司Haechi 22日澄清称,该公司在10月份进行了审计,但攻击者利用的漏洞出现在新创建的智能合约中,而不是在接受安全审计的智能合约中。与此漏洞攻击相关的代码是“controller-v4”中的“swapexactjarforjar”。以前的安全审计是针对“controller-v3”。不包含“用于jar的swapexactjar”。

泡菜事件再次敲响了DeFi的安全警报。安全审计不是一个一次性的过程,而是一个反复重复的检漏过程。同时,还有一个非常重要的原因,DeFi将成为黑客的天堂。由于项目的快速发展,由于利润过大,存在很多漏洞。近期,DEFI逐渐回归平静,希望能过滤掉奸商,给开发者更多时间开发高质量的DEFI项目。

温馨提示:

文章标题:yfi能挽救酸黄瓜的衰落吗?

文章链接:https://www.btchangqing.cn/148717.html

更新时间:2020年11月26日

本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。

yfi能挽救酸黄瓜的衰落吗?3
区块链行情

货币胜利类:11.26以太坊市场走势分析及操作建议

2020-11-26 21:48:24

区块链行情

投币希柔:11.26比特币以太坊投资技巧:耐心等待进场时间

2020-11-26 21:56:30

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索