这一周,“科学家”们很忙。11月14日,黑客攻击ValueDeFi的MultiStablesVault池子,获得近740万美金的DAI;11月17日,黑客攻击OriginProtocol凭空铸造2050万枚OUSD。
今天凌晨2时37分,当人们还在熟睡之时,黑客攻击DeFi协议PickleFinance,捞得近2000万美元的DAI。加密货币再次登上央视DeFi沦为“科学家”的提款机?
Perella Weinberg正在寻求出售AI初创公司Anthropic的股份,FTX持有高达5亿美元的股票:金色财经报道,Semafor报道,负责处理加密货币交易所 FTX 破产事宜的投资银行 Perella Weinberg 正在寻求出售人工智能 (AI) 初创公司 Anthropic 的股份,其价值可能达到“数亿美元”?。FTX 去年 11 月破产时,可能拥有 Anthropic 价值高达 5 亿美元的股票,该公司在最近几个月筹集了 7.5 亿美元。
报道援引知情人士的话称,Anthropic 股票被认为是 FTX 最大的资产之一,目前不确定FTX 是否会出售全部持股,还是因预期 AI 估值将继续上涨而保留部分股份。[2023/6/6 21:19:38]
11月18日,比特币冲击18,000美元,加密货币再次登上央视,此前,加密货币被誉为去中心化的金融工具首次登上央视。
SBF曾领投的人工智能公司Anthropic将获3亿美元新融资:1月31日消息,两位知情人士表示,人工智能初创公司Anthropic即将筹集大约3亿美元的新资金,完成后Anthropic的估值约为50亿美元,但最终估值并未确定。
据悉,Anthropic成立于2021年,2021年获1.24亿A轮融资,2022 年获得由 FTX 前首席执行官 SBF 领投的 5.8 亿美元融资,根据彭博社的一篇文章,FTX/Alameda或已经向Anthropic投资了5亿美元,其此前披露的资产负债表上的一个5亿美元条目是“Anthropic”。随着ChatGPT的大热,人工智能赛道成为融资热点,但目前尚不清楚SBF与Anthropic的具体关联。[2023/1/31 11:38:03]
Epic Games CEO: 必须阻止苹果商店对Web2公司征收30%非赢利税:金色财经报道,苹果允许在App Store应用程序上买卖NFT的决定并没有得到Web3支持者的接受。因为苹果决定对应用内非付费内容的销售收取30%的标准佣金,而OpenSea对非营利性交易收取2.5%的佣金。
Epic Games首席执行官Tim Sweeney抨击写道,该公司正在“扼杀所有无法征税的非盈利性应用业务,摧毁另一项可能与其定价过高的应用内支付服务相抗衡的新兴技术。必须要阻止苹果这么做。(decrypt)[2022/9/27 22:31:27]
据央视报道,从投资回报率的角度来看,加密货币是今年真正的“头号”投资产品。“彭博银河加密货币指数”上涨约65%,超过金价逾20%的涨幅,也超过全球股市、债市和大宗商品市场的收益率。涨幅较高的一个关键原因是以太坊币价暴涨,涨幅达到169.40%。央视解释道:“以太坊币价格攀升得益于去中心化金融工具的使用增加,以及疫情肆虐后各国出台的巨额刺激措施,让投资者选择了比特币、以太坊等加密货币进行保值。”一方面,加密货币市场频频发出利好消息;另一方面,DeFi项目因未经严格审计频遭攻击。据悉,今年9月10日酸黄瓜PickleFinance启动流动性挖矿,9月14日V神发推文赞赏该项目,使其代币价格暴涨10倍。而遭到此次攻击后,酸黄瓜损失近价值2000万的DAI,同时24小时内其代币腰斩。CoinmarketCap数据显示,PickleFinance代币的价格在24小时内,从22.7美元跌到10.2美元,它的市值在未销毁的情况下,24小时内蒸发了1220万美元。
Animoca Brands子公司的区块链赛车游戏获Epic Games的资金支持:金色财经报道,Animoca Brands子公司,澳大利亚独立游戏开发商Grease Monkey Games已获得游戏巨头Epic Games的资金支持,以开发新的基于区块链的赛车游戏Torque Drift 2。
根据Animoca Brands 8月18日的公告 ,Grease Monkey Games从Epic MegaGrant项目中获得资金,这将使该公司能够制作出迄今为止最身临其境和逼真的赛车游戏。(Cointelegraph)[2022/8/19 12:35:29]
动态 | EOS竞猜游戏Pickown遭\"假转账通知\"攻击:据 PeckShield 态势感知平台12月23日数据显示:今天11:01-11:24之间, 黑客(eoseosboyboy)向Pickown游戏合约(pickowngames)发起\"假转账通知\"攻击成功得手,并且已经全部转走Pickown游戏合约余额。目前攻击者还在尝试其他游戏合约。PeckShield 安全人员分析发现,此次攻击因游戏合约未过滤游戏玩家主动提供的假通知导致。PeckShield在此提醒广大游戏开发者和游戏玩家,警惕安全风险。[2018/12/23]
发生了什么?
PeckShield通过追踪和分析发现,攻击者通过StrategyCmpdDaiV2.getSuppliedUnleveraged()函数查询资产余额1972万美元;随后,攻击者利用输入验证漏洞将StrategyCmpdDaiV2中的所有DAI提取到PickleJar:这个漏洞位于ControllerV4.swapExactJarForJar()函数中,其中包含两个既定的伪Jar。在未验证既定Jar的情况下,此步骤会将存入的所有DAI提取到PickleJar,并进行下一轮部署。接下来,攻击者调用earn()函数将提取的DAI部署到StrategyCmpdDaiV2中。在内部缓冲区管理中,黑客调用了三次earn()函数,在StrategyCmpdDaiV2中生成共计950,818,864.8211968枚cDAI;第一次调用earn()函数存入1976万枚DAI,铸造903,390,845.43581639枚cDAI;第二次调用earn()函数存入98.8万枚DAI,铸造45,169,542.27179081枚cDAI;第3次调用earn()函数存入4.9万枚DAI,铸造2,258,477.11358954枚cDAI;
随后,攻击者调用ControllerV4.swapExactJarForJar()函数,利用任意代码执行将StrategyCmpdDaiV2中的所有cDAI提取出来,这一步中,_execute()函数有两个参数:_target和_data,_target指的是目标地址,即图中橘色所示部分;_target是一个加白的地址,攻击者没办法任意控制此地址,此处他们利用的是CurveProxyLogic,该加白的合约,然后,liquidity被打包到callData里再传给withdraw()函数,使得withdraw()函数取出的_asset就是cDAI的地址。值得注意的是,如果want==_asset,蓝色框里的函数就不执行,此设计的目的在于want是不允许被取出的,所以攻击者刻意取出对应的cDAI。最后,执行回ControllerV4.swapExactJarForJar()函数,所提取的cDAI被存入恶意的_toJar.在_toJar.deposit()函数里,所有950,818,864.8211968枚cDAI立即转入黑客地址。未经严格审计的DeFi能走多远?
针对此次PickleFinance被攻击事件,其审计公司Haechi发推文称,今年10月对其代码进行了一次审计,但是攻击者利用的漏洞发生在新创建的智能合约中,而不是接受安全审计的智能合约中。与此次漏洞攻击相关的代码存在于controller-v4.sol中的swapExactJarForJar,而非此前审计的controller-v3.sol中,该智能合约不包含swapExactJarForJar。对此,PeckShield相关负责人表示:“有一些DeFi项目在做过第一次智能合约安全审计后,可能会为了快速上线主网,省略审计新增的智能合约,这种省略或能争取短时的利益,但就像此次攻击一样最终因小失大。DeFi们在上线之前一定要确保代码进行彻底地审计和研究,防范各种可能发生的风险。”未经严格审计即上线的DeFi项目能走多远?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。