这就是为什么Pickle Finance骇客与众不同的原因

改天，另一个DeFi骇客。 听说过吗？ 这些天可能很多。

在DeFi生态系统中，骇客和拉扯并不罕见。 但是，该空间在很长一段时间内仍将持续增长。 理想情况下，Pickle Finance事件应该只是这些黑客中的另一起。 但是，越来越多的情况表明，周末发生的黑客攻击在很多方面都与以往不同。

DeFi协议Pickle Finance在周六遭到黑客攻击，黑客获得了1,970万美元的DAI。 黑客入侵后，Pickle Finance的代币PICKLE下跌了50％以上。 在这里，似乎是因为涉及伪造的Pickle Jars的漏洞而使Pickle Finance的cDAI jar遭到了黑客入侵。

但是，这并不是本月早些时候其他几种DeFi协议（如Harvest Finance和Akropolis）面临的普通Flash贷款攻击。

实际上，一些玩家的进一步调查显示，黑客并非仅仅利用代码中的明显错误。 相反，这是更加复杂的事情。

REKT在最近的一份报告中透露，攻击者对Solidity和EVM具有出色的知识，并且很可能一直在密切关注Yearn代码，因为该漏洞类似于一个月前在Yearn代码中发现的漏洞。 。

实际上，Twitter上的一名开发人员确定并概述了此漏洞利用中利用的8个缺陷必须如何同时发生才能使攻击者成功。 据报道这还不是全部，有问题的代码被排除在刚刚进行的审核之外。

8 /我要说的是，泡菜打算做什么都没错。 他们想使`swapExactJarForJar`通用且易于使用。 有问题的是，所有8个缺陷均在同一时间发生，而并非全部以预期的方式使用。 这就是为什么我说它像传统的CTF。

— orb_x_ball（@orbxball）2020年11月22日

在缓解攻击的同时，撤出请求必须经过治理DAO，该DAO具有12小时的时间锁定。 但是，Pickle多重签名中唯一能够绕过时间锁定的成员正在睡觉。

很快，Pickle Finance and Curve发出警告，要求用户立即提取资金，因为白帽团队调查了漏洞利用并检查了剩余资金的安全性。 但是到那时，为时已晚。

有趣的是，上述报告在其报告中也提出了一项敏锐的观察，

“通过发布此技术信息，我们意识到我们可能会触发新的黑客攻击。”

后来，建议运行派克版本的派克代码的协议注意正在发生的事件，同时还应采取预防措施来防止模仿者被黑。

—-

原文链接：https://eng.ambcrypto.com/defi-pickle-finance-different

原文作者：Samyuktha Sriram

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。