注:本周六,DeFi协议PickleFinance因其Jar策略中存在的漏洞,而被黑客盗走了2000万美元,此后,由Rekt、StakeCapital团队成员、samczsun等白帽黑客组成的临时小队对Pickle协议内剩余易受攻击的5000万美元用户资金进行了抢救,作者Rekt对这次事件进行了总结。
金融的发酵还在继续,即使是酸黄瓜也有保质期。
PickleFinance因一个涉及假“Picklejar”漏洞而被黑客盗走了1970万DAI。
PickleFinance已成为了这次黑客大流行病的最新受害者。
Epic与微软扩大战略合作,将集成Azure OpenAI服务:金色财经报道,微软与软件开发公司Epic宣布将扩大战略合作,通过将Azure OpenAI Service1的规模和功能与Epic电子健康记录(EHR)软件相结合,开发生成式人工智能并将其集成到医疗保健中。此次合作扩展了双方长期以来的合作关系,其中包括允许企业在微软Azure云平台上运行Epic环境。[2023/4/17 14:09:10]
然而,这一次,有一些不同...
当Twitter上的人们试图接受另一次金融灾难时,Rekt开始了调查。
我们联系了StakeCapital团队,他们查看了代码并警告我们其他Picklejar可能面临风险。
随后,我们迅速联系了PickleFinance团队,并在SketchCapital成员以及有经验的开发者/img/20230515215547176929/1.jpg "/>
这个小队必须克服5大挑战:
让PickleFinance团队跨多个时区聚集在一起,通过将交易推到12小时时间锁提取资金,以拯救这些资金;
让成千上万的投资者提出他们的资金;
对其他jar进行安全检查,看看是否有可能发生更多攻击;
在任何人再次攻击这些jar之前,复制这种攻击,将资金转移出来;
在试图挽救剩余的5000万美元资金时,避免被抢先交易;
我们还能继续依赖伪匿名白帽黑客的帮助多久?
显然,与保护者相比,攻击者的动机更为一致,那白帽黑客为什么要协调这样一次艰苦的反击?
荣誉归白帽,资金却归黑客,这是不可持续的。
要让这些白帽变黑,还需要多久时间?
分析
通过发布这些技术信息,我们意识到我们可能会引发新的黑客攻击。我们与PickleFinance及其他开发人员讨论了潜在的后果,并确认我们不知道Pickle的任何运营分叉可能会受到模仿攻击的影响。
选择性披露会带来责任的一个方面,所以我们决定自由发布这些信息。如果有任何协议在运行Pickle的代码分叉,他们应该要意识到正在发生的事件,并采取预防措施来防止黑客模仿者。
下面的图表是由/img/20230515215547176929/2.jpg "/>
原始文件可以在这里找到。
关于更多详情,请参阅此处官方的调查报告。
看看相对较新的保险协议CoverProtocol如何处理这一事件是有趣的,这对他们的第一笔索赔来说是一笔巨大的金额。你可以在这里找到保险索赔的快照投票。
腌渍酸黄瓜是一个缓慢的过程。
几十年来,“敏捷开发”的倡导者一直在告诉开发人员,要快速行动,迅速失败,并发布最小的可行产品。
这些想法不适合在敌对环境中建设。
在DeFi中迅速失败是要付出巨大代价的。
我们不需要另一种方法,我们需要一个范式转换,允许快速迭代,同时减少被攻击的可能性。
我们不要再认为“拥有审计就拥有了安全的保证”,在大多数情况下,它是应用于移动目标的检查表式安全措施的快照,这些目标通常在项目进入主网后不久就演变成了其他东西。
MixBytes和Haechi的审计是在添加ControllerV4之前完成的,而ControllerV4是这次攻击的关键向量之一。
未来金融界最伟大的团队,将是那些能够在快速迭代和安全迭代之间进行权衡的团队,其能够定期对其可组合的货币机器人进行持续审计和严格测试。
审计应该是一个定期的、持续的过程,而不是在启动前打勾。新的DeFi协议会不断变化和适应,而安全审计应反映这一点。
毕竟,腌黄瓜只有在罐子里才能保持新鲜...
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。