Сражение SUSHISWAP и UNISWAP
Экономические стимулы работают. Увеличение награды и памп $SUSHI на этой неделе с одновременным сокращением награды в $UNI привели к оттоку капитала в размере 25 174WBTC с UNISWAP.
Однако, лишь 20% этой суммы попало на $SUSHISWAP.
17 ноября 13 000 WBTC из 20 000 WBTC, покинувших UNISWAP, ушли на адреса бирж. Помайнили ликвидность, пора бы и честь знать.
Экономические стимулы работают. Увеличение награды и памп $SUSHI на этой неделе с одновременным сокращением награды в $UNI привели к оттоку капитала в размере 25 174WBTC с UNISWAP.
Однако, лишь 20% этой суммы попало на $SUSHISWAP.
17 ноября 13 000 WBTC из 20 000 WBTC, покинувших UNISWAP, ушли на адреса бирж. Помайнили ликвидность, пора бы и честь знать.
Молли Винтермьют, разработчик протокола Hegic Protocol провела второй раунд инвестиций. На этот раз покупка касалась монет на рынке, т.к. разработчики отказались принимать инвестиции.
Эффект пампа не выраженный, т.к. монета уже выросла в 15 раз до ее покупки.
Историю взлома протокола и спасения белым хакером можно прочесть в этом посте:
https://tttttt.me/Defiscamcheck/419
P.s.: в понедельник выложу серию вопросов и ответов Молли вашему покорному слуге, задал ей каверзные вопросы по опционам и получил совет для начинающих криптоинвесторов.
Эффект пампа не выраженный, т.к. монета уже выросла в 15 раз до ее покупки.
Историю взлома протокола и спасения белым хакером можно прочесть в этом посте:
https://tttttt.me/Defiscamcheck/419
P.s.: в понедельник выложу серию вопросов и ответов Молли вашему покорному слуге, задал ей каверзные вопросы по опционам и получил совет для начинающих криптоинвесторов.
PickleFinance, вероятно, подвергся флеш-лоан атаке.
https://etherscan.io/tx/0xe72d4e7ba9b5af0cf2a8cfb1e30fd9f388df0ab3da79790be842bfbed11087b0
https://etherscan.io/tx/0xe72d4e7ba9b5af0cf2a8cfb1e30fd9f388df0ab3da79790be842bfbed11087b0
Ethereum (ETH) Blockchain Explorer
Ethereum Transaction Hash (Txhash) Details | Etherscan
Ethereum (ETH) detailed transaction info for txhash 0xe72d4e7ba9b5af0cf2a8cfb1e30fd9f388df0ab3da79790be842bfbed11087b0. The transaction status, block confirmation, gas fee, Ether (ETH), and token transfer are shown.
19,759,355 DAI украдено из PickleFinance cDai хранилища
https://etherscan.io/tokenholdings?a=0x70178102aa04c5f0e54315aa958601ec9b7a4e08
https://etherscan.io/tokenholdings?a=0x70178102aa04c5f0e54315aa958601ec9b7a4e08
PickleFinance взлом.
Патерн поведения хакеров и кража средств перед выходными днями?
"Может у хакера есть работа в дневное время?"
Транзакция состояла из 46 трансферов
Проходила с ценой гвей 500 и стоимостью 1721$
Патерн поведения хакеров и кража средств перед выходными днями?
"Может у хакера есть работа в дневное время?"
Транзакция состояла из 46 трансферов
Проходила с ценой гвей 500 и стоимостью 1721$
Карта перемещения средств во время флеш-лоан атаки на протокол PickleFinance
19.759k DAI было украдено.
Вероятно, будет вывод подобный краже в протоколе Origin.
DAI -> WETH -> WBTC -> RenBTC -> BTC
Комментарий whitehacker samczsun:
Атака на Pickle Finance была осуществлена через создание фейк Jar контрактов и замену их на реальные контракты Jar, а затем вывод средств из реальных контрактов хранилища протокола.
https://bloxy.info/tx/0xe72d4e7ba9b5af0cf2a8cfb1e30fd9f388df0ab3da79790be842bfbed11087b0
19.759k DAI было украдено.
Вероятно, будет вывод подобный краже в протоколе Origin.
DAI -> WETH -> WBTC -> RenBTC -> BTC
Комментарий whitehacker samczsun:
Атака на Pickle Finance была осуществлена через создание фейк Jar контрактов и замену их на реальные контракты Jar, а затем вывод средств из реальных контрактов хранилища протокола.
https://bloxy.info/tx/0xe72d4e7ba9b5af0cf2a8cfb1e30fd9f388df0ab3da79790be842bfbed11087b0
DEFI Scam Check pinned «Hegic Protocol и с чем его едят. Разбор сделки с прибылью в 67k$. Гений или самодур? Что же за начинка в Hegic Protocol? Этот материал преследует следующие цели: - обучающая и техническая. Максимально простым языком расписать как строить CALL и PUT опционы…»
Основатель опционной биржи Deribit и фонда 3ArrowsCapital Su Zhu спрашивает:
"Когда будет выстроены "завернутые" wrapped токены XRP, LTC, BCH, ZEC?
Данные токены способны упрочнить, зацементировать фундамент эфириум сети и дать возможность участия владельцам этих монет в DeFi"
Возразим Su Zhu: зачем переносить эти "быстрые", "анонимные", "банковские" монеты на медленный и дорогой эфир?
Ах, да, оказывается концепция: малая скорость, высокие комиссии => делают привлекательным эфир и аутсайдерами прочие Large Caps монеты
"Когда будет выстроены "завернутые" wrapped токены XRP, LTC, BCH, ZEC?
Данные токены способны упрочнить, зацементировать фундамент эфириум сети и дать возможность участия владельцам этих монет в DeFi"
Возразим Su Zhu: зачем переносить эти "быстрые", "анонимные", "банковские" монеты на медленный и дорогой эфир?
Ах, да, оказывается концепция: малая скорость, высокие комиссии => делают привлекательным эфир и аутсайдерами прочие Large Caps монеты
Стоит ли подбирать отскоки по хакнутым протоколам?
Цифры говорят за себя:
Pickle -46% (последний взлом)
FARM -50% (27 окт)
Percent -85%
AKRO -50% в моменте (-25% сейчас)
Взломанные протоколы теряют доверие инвесторов + возмещение потерь происходит за счет агрессивной продажи нативных токенов
Цифры говорят за себя:
Pickle -46% (последний взлом)
FARM -50% (27 окт)
Percent -85%
AKRO -50% в моменте (-25% сейчас)
Взломанные протоколы теряют доверие инвесторов + возмещение потерь происходит за счет агрессивной продажи нативных токенов
Логика взлома Pickle Finance
Дисклеймер:
Аудит контракта, завершившийся 17 ноября, не затрагивал контроллер№4, который был взломан. Т.е. баг возник после аудита и добавления новых функций.
По скриншоту видно, что эксплоит (взлом) короткий:
https://twitter.com/orbxball/status/1330395576593211392
3 основные части:
1 ШАГ: "swapExactJarForJar" позволяет текущему алгоритму протокола Pickle Finance заимствовать DAI из протокола Compound с делевериджем ( т е заложено 20 млн DAI –> взять под их залог 10 млн DAI ).
После делевериджа DAI -> отправлять их в хранилище pDAI Jar.
2 ШАГ: Функция `earn ()`превращает заимствованные DAI в cDAI, как и ожидалось.
3 ШАГ: Повторный вызов функции
В этом эксплойте используется 8 недостатков протокола Pickle Finance. Но есть одна вещь, на которую стоит обратить внимание. Этот эксплойт происходит только тогда, когда эти 8 недостатков происходят одновременно. Таким образом, если бы хоть 1 из 8 уязвимостей была исправлена, либо даже не существовала, этого эксплойта не было бы.
8 уязвимостей:
!!! 1. нет проверки соответствия по адресу, вызывавшему функцию
2. _target & _data функции передавались в открытом виде
3. функция withdrawForSwap помещена в неавторизованную функцию
4. функция delegatecall помещена в неавторизованную функцию
5. адреса whitelist имеет функцию арбитража
6. адреса whitelist могут обращаться к неавторизованной функции
7. функция earn находится в публичной части контракта
8. разрешен вывод активов из стратегии (нет таймлока).
Pickle Finance старался сделать интерфейс протокола и порядок с ним взаимодействия более дружелюбным и по совместительству – хакеропригодным.
Дисклеймер:
Аудит контракта, завершившийся 17 ноября, не затрагивал контроллер№4, который был взломан. Т.е. баг возник после аудита и добавления новых функций.
По скриншоту видно, что эксплоит (взлом) короткий:
https://twitter.com/orbxball/status/1330395576593211392
3 основные части:
swapExactJarForJar, earn () и снова `swapExactJarForJar'.1 ШАГ: "swapExactJarForJar" позволяет текущему алгоритму протокола Pickle Finance заимствовать DAI из протокола Compound с делевериджем ( т е заложено 20 млн DAI –> взять под их залог 10 млн DAI ).
После делевериджа DAI -> отправлять их в хранилище pDAI Jar.
2 ШАГ: Функция `earn ()`превращает заимствованные DAI в cDAI, как и ожидалось.
3 ШАГ: Повторный вызов функции
swapExactJarForJar хакер отзывал cDAI обратно к контроллеру, а затем поместил их в поддельное хранилище.В этом эксплойте используется 8 недостатков протокола Pickle Finance. Но есть одна вещь, на которую стоит обратить внимание. Этот эксплойт происходит только тогда, когда эти 8 недостатков происходят одновременно. Таким образом, если бы хоть 1 из 8 уязвимостей была исправлена, либо даже не существовала, этого эксплойта не было бы.
8 уязвимостей:
!!! 1. нет проверки соответствия по адресу, вызывавшему функцию
swapExactJarForJar, именно так и было подделано хранилище, куда «складывались» украденные средства2. _target & _data функции передавались в открытом виде
3. функция withdrawForSwap помещена в неавторизованную функцию
4. функция delegatecall помещена в неавторизованную функцию
5. адреса whitelist имеет функцию арбитража
6. адреса whitelist могут обращаться к неавторизованной функции
7. функция earn находится в публичной части контракта
8. разрешен вывод активов из стратегии (нет таймлока).
Pickle Finance старался сделать интерфейс протокола и порядок с ним взаимодействия более дружелюбным и по совместительству – хакеропригодным.
Twitter
orb_x_ball
1/ I saw many wrong tweets about the @picklefinance exploit. Let me try to explain it. It's not an economic exploit. It's more like a traditional CTF combining all coincidence. More details in the following threads. TL;DR 👇This precisely describes how the…
$TRUE Во всяких фарм историях, пжл, читайте внимательно ленту.
Когда вы видите, что покупки идут мелкой чередой ордеров по 1-2 эф, а продажи чередуются крупными ордерами, имейте ввиду, крупный капитал так об вас разгружается.
Крупная покупка может давать сигнал о разгоне монеты, но не случай: много мелких покупок "веры" и стабильные, "крупные" продажи токенов фермерами.
Когда вы видите, что покупки идут мелкой чередой ордеров по 1-2 эф, а продажи чередуются крупными ордерами, имейте ввиду, крупный капитал так об вас разгружается.
Крупная покупка может давать сигнал о разгоне монеты, но не случай: много мелких покупок "веры" и стабильные, "крупные" продажи токенов фермерами.