DeFi成“科学家”提款机？Pickle Finance遭攻击损失近2000万$

11月21日，当人们还在熟睡之时，黑客攻击DeFi协议Pickle Finance（酸黄瓜），捞得近2000万美元的DAI。就Pickle Finance因漏洞损失近2000万美元一事，白帽黑客、DeFi Italy 联合创始人Emiliano Bonassi表示，攻击者部署了“邪恶 Jar ”，这是一种具有传统Jar的相同界面、但是却作恶的智能合约。随后，攻击者在他的“邪恶 Jar”和真正的cDAI Jar之间交换了资金，偷走价值2000万美元的存款。

Pickle Finance是一个去中心化金融(DeFi)协议，Pickle Finance将投资者的资金围绕不同的DeFi协议进行转移，以实现收益最大化。

据悉，今年9月10日酸黄瓜Pickle Finance启动流动性挖矿，9月14日V神发推文赞赏该项目，使其代币价格暴涨10倍。而遭到此次攻击后，酸黄瓜损失近价值2000万的DAI，同时24小时内其代币腰斩。

数据显示， Pickle Finance代币（Pickle）的价格在24小时内，从22.7美元跌到10.2美元，它的市值24小时内蒸发了1220万美元。

11月22日，Pickle Finance发推称，有报道说我们的DAI PickleJar策略已被利用。我们正在积极调查此事，并将提供进一步的更新。我们鼓励所有LP从Jar中提取资金，直到问题得到解决。

针对此次 Pickle Finance（酸黄瓜）被攻击事件，其审计公司Haechi发推文称，今年 10 月对其代码进行了一次审计，但是攻击者利用的漏洞发生在新创建的智能合约中，而不是接受安全审计的智能合约中。与此次漏洞攻击相关的代码存在于 controller-v4.sol中的swapExactJarForJar，而非此前审计的controller-v3.sol中，该智能合约不包含swapExactJarForJar。

对此，PeckShield相关负责人表示：“有一些DeFi项目在做过第一次智能合约安全审计后，可能会为了快速上线主网，省略审计新增的智能合约，这种省略或能争取短时的利益，但就像此次攻击一样最终因小失大。DeFi们在上线之前一定要确保代码进行彻底地审计和研究，防范各种可能发生的风险。”

未来金融界最伟大的团队，将是那些能够在快速迭代和安全迭代之间进行权衡的团队，其能够定期对其可组合的货币机器人进行持续审计和严格测试。

审计应该是一个定期的、持续的过程，而不是在启动前打勾。新的DeFi协议会不断变化和适应，而安全审计应反映这一点。

毕竟，腌黄瓜只有在罐子里才能保持新鲜...

免责声明：作为区块链信息平台，本站所提供的资讯信息不代表任何投资暗示，本站所发布文章仅代表个人观点，与火星财经官方立场无关。鉴于中国尚未出台数字资产相关政策及法规，请中国大陆用户谨慎进行数字货币投资。  

作者：大河共识联盟；来自链得得内容开放平台“得得号”，本文仅代表作者观点，不代表链得得官方立场凡“得得号”文章，原创性和内容的真实性由投稿人保证，如果稿件因抄袭、作假等行为导致的法律后果，由投稿人本人负责得得号平台发布文章，如有侵权、违规及其他不当言论内容，请广大读者监督，一经证实，平台会立即下线。如遇文章内容问题，请发送至邮箱：linggeqi@chaindd.com