eac币交易平台遭攻击 担心未审计的PickleFinanc

这一周，运用技能实力和常识门槛的黑客们非常忙碌。11月14日，黑客进犯了ValueDeFi的MultiStablesVault池子，窃取了近740万美元的DAI。11月17日，黑客进犯了OriginProtocol，伪造了2050万枚OUSD。在今日清晨2点37分，黑客进犯了DeFi协议PickleFinance，窃取了近2000万美元的DAI。

加密钱银再次登上央视，DeFi被称为“科学家”的提款机？11月18日，比特币价格冲击了18,000美元，加密钱银再次登上央视。根据央视报导，从出资回报率的角度来看，加密钱银是本年真实的“头号”出财物品。本年加密钱银市场的涨幅约为65%，超过了金价的20%涨幅，也超过了全球股市、债市和大宗商品市场的收益率。其间以太坊币的涨幅达到了169.40%。

央视解释说：“以太坊币价格上涨得有利于去中心化金融工具（DeFi）的运用增加，以及新冠疫情后各国施行的大规模影响办法，这让出资者挑选了比特币、以太坊等加密钱银加密钱银市场频繁呈现利好消息，另一方面，DeFi项目由于未经严厉审计而频遭进犯。据了解，本年9月10日，PickleFinance发动流动性挖矿，9月14日以太坊创始人V神发推文称誉该项目，使其代币价格暴涨了10倍。但在遭到此次进犯后，PickleFinance丢失了价值近2000万美元的DAI，并且24小时内代币的价值腰斩。

数据显现，PickleFinance代币（Pickle）的价格在24小时内从22.7美元跌至10.2美元，其市值在未销毁的情况下24小时内蒸发了1220万美元。

发生了什么？PeckShield通过追踪和分析发现，进犯者通过查询函数获取到了1972万美元的财物余额。然后运用输入验证缝隙将DAI提取到PickleJar，这个缝隙存在于ControllerV4.swapExactJarForJar函数中。接下来，进犯者调用earn函数将提取的DAI部署到StrategyCmpdDaiV2中，并在内部缓冲区办理中多次调用earn函数，生成了共计950,818,864.8211968枚cDAI。随后，进犯者运用ControllerV4.swapExactJarForJar函数将StrategyCmpdDaiV2中的所有cDAI提取出来，最终将提取的cDAI存入恶意的地址。

未经严厉审计的DeFi项目能走多远？针对此次PickleFinance被进犯事情，审计公司Haechi发推文称，他们在本年10月对其代码进行了一次审计，但是进犯者运用的缝隙呈现在新创建的智能合约中，而不是现已接受过安全审计的智能合约中。与此次缝隙进犯相关的代码存在于controller-v4.sol中的swapExactJarForJar函数中，而不是之前通过审计的controller-v3.sol中。PeckShield负责人表明，一些DeFi项目在第一次智能合约安全审计后，为了快速上线主网，可能会省掉对新增智能合约的审计。这种省掉也许能够争取到短期的利益，但最终可能会因小失大。他们强调，在上线前一定要保证对代码进行完全的审计和研究，以避免各种潜在的风险。

此时快讯

【街机游戏鼻祖雅达利Atari之父：Web3世界安全性更高，但匿名不利于游戏竞争】金色财经报道，街机游戏鼻祖雅达利Atari联合创办人、现任电竞及代币化游戏平台Moxy.io首席知识官、被誉为“雅达利之父”的 Nolan Bushnell接受《信报》最新采访时表示，以长远角度来看，Web3世界安全性更高。尤其智能合约（Smart Contract），但匿名不利于游戏竞争，乔布斯（Steve Jobs）曾在雅达利效力，这种精神延续到苹果，游戏行业需要奇怪的、与众不同的人，要尝试一些疯狂想法，而非试图模仿过去。此外，Moxy 行政总裁Matt deFouw指出，不少Web3游戏声称 Play to Earn，但由于过分注重所有权（Ownership）及价值问题，反而失去游戏应有乐趣，最终变成了Grind to Earn。