In un altro attacco a un importante protocollo di finanza decentralizzata (DeFi), il progetto agricolo Pickle Finance è stato sfruttato oggi per $ 20 milioni.
Il attacco è emerso circa due ore fa, e gli utenti di Twitter esperti di ETH si sono affrettati a notare che il barattolo cDAI di Pickle – il termine di Pickle per un caveau produttivo – era stato svuotato:
credo @picklefinanceIl vaso cDAI è stato appena attaccato e svuotato. https://t.co/Lxwi2dWSSZ pic.twitter.com/nUBE1KjEPh
– mattyb (@mattybchats) 21 novembre 2020
A differenza di altri attacchi recenti, tuttavia, questo particolare exploit non prevedeva prestiti flash, uno strumento DeFi sempre più diffamato che consente agli aspiranti sfruttatori di liquidità aggiuntiva con cui manipolare i prezzi on-chain. Invece, questo hacker ha scambiato fondi tra un contratto imitatore dannoso e il barattolo cDAI.
In un’intervista a Cointelegraph, Emiliano Bonassi – un hacker che si autodefinisce whitehat e co-fondatore di DeFi Italia – ha spiegato che l’attaccante ha creato “evil jars”, contratti intelligenti che “hanno la stessa interfaccia dei barattoli tradizionali ma fanno cose cattive. “
L’attaccante ha quindi scambiato i fondi tra il suo “barattolo malvagio” e il vero barattolo cDAI, guadagnandosi 20 milioni di dollari in depositi.
Barattoli malvagi schierati durante l’attacco e passati nello swapExactJarForJar, indagando di più su questohttps://t.co/szRloiecV8https://t.co/l2xT4zhQB1
Sono operazioni ragionevoli eseguite con quel metodo (ad esempio approvare, ritirare, ecc.). pic.twitter.com/29RNkF4vJb
– Emiliano Bonassi | emiliano.eth (@emilianobonassi) 21 novembre 2020
Soprattutto dopo l’attacco a Harvest Finance, Pickle Finance sembrava essere in viaggio verso diventando uno dei principali protocolli di coltivazione. Al momento della stampa, il sito web delle statistiche di Pickle ha riportato quasi $ 75 milioni di valore totale bloccato rimanente nei libri contabili, mentre il prezzo di pickle, il token di governance di Pickle Finance, è sceso del 50% nel corso della giornata a $ 11,16.
I guai di Pickle Finance sono solo gli ultimi in a tendenza preoccupante in tutto lo spazio DeFi. Le vittime di exploit recenti nelle ultime settimane includono Harvest Finance, Value DeFi, Akropolis, Cheese Bank e Origin Dollar, tra gli altri.
Forse, tuttavia, le vulnerabilità di un verticale DeFi potrebbero portare al successo di un altro. Un commerciante di Twitter ha detto:
I controlli di sicurezza sono un meme.
Il nuovo “audit” avrà un’adeguata copertura assicurativa.$ Nsure $ Cover
– Cope_Infinitum (@CryptoMessiah) 21 novembre 2020