Protokół DeFi Pickle Finance w wyniku hacku stracił 20 mln dolarów

Kolejny dzień, kolejny hack DeFi. Pickle Finance właśnie ogłosił, że kilka godzin temu zostały skradzione środki zdeponowane w jednym z jego smart kontraktów. Zespół nadal bada, w jaki dokładnie sposób hakerowi udało się ukraść 20 mln dolarów. Póki co jego portfel nie rozpoczął jeszcze fazy prania brudnych pieniędzy. Token Pickle Finance (PICKLE) po rozpowszechnieniu się wiadomości o hacku, stracił prawie 58% w ciągu zaledwie kilku godzin. Ktokolwiek zaatakował protokół DeFi, ukradł fundusze z produktu DAI PickleJar - lub PJar. W tej puli znajdowały się tokeny cDAI wyemitowane przez Compound oraz tokeny DAI zdeponowane przez Picke Finance. Firma Pickle Finance tworzy rozwiązania do automatycznego przenoszenia funduszy pomiędzy różnymi protokołami DeFi w celu maksymalizacji zysków. Dlatego też wymagały one zdeponowania środków w Compound, jako czegoś w rodzaju "wspólnego podłoża" dla handlu i arbitrażu. Atak na Pickle Finance nie jest następstwem pożyczki flash, która jest prawdopodobnie najczęściej używaną metodą do hackowania protokołów DeFi. W tym przypadku, haker stworzył złośliwy kontrakt i wykorzystał go do interakcji z legalnymi kontraktami. Emiliano Bonassi, współzałożyciel DeFi Italia, opisał w przybliżeniu, w jaki sposób haker dokonał włamania. Krótko mówiąc, napastnik stworzył "złe słoiki" - umowy z podobnym interfejsem do "dobrych słoików", jednak inaczej zaprogramowane. Następnie napastnik wymienił środki pomiędzy swoim "złym słoikiem" a rzeczywistym słoikiem cDAI, przyjmując w ten sposób 20 milionów dolarów.

Argh! No ? //t.co/IqskGJsrxT pic.twitter.com/eXZbnDfnaF

— Emiliano Bonassi | emiliano.eth (@emilianobonassi) November 21, 2020

Wg Bonassiego proces był niezwykle złożony, "dobrze zbadany i niełatwy." Jednak nawet jego zaskoczyło, że hakerzy nie polegali na pożyczce flash.

Fala hacków DeFi

Ostatnia fala haków DeFi może być oznaką tego, jak niedojrzały jest jeszcze ten ekosystem. Niektórzy twierdzą, że obecnie DeFi w żaden sposób nie konkuruje z bezpieczniejszymi i bardziej stabilnymi, tradycyjnymi, scentralizowanymi protokołami finansowymi. Ostatnie hacki na DeFi to m.in Harvest Finance, Akropolis czy Balancer. Inwestorzy stracili w tych projektach miliony dolarów i wielu z nich ze względu na zdecentralizowaną naturę projektów, nie miało szans odzyskać swoich środków. Jednak w miarę jak hacki stają się coraz bardziej popularne, jakość protokołów DeFi - i liczba nowych produktów - poprawia się. Przykładem może być Value Defi, która po hacku porzuciła swoją prywatną wyrocznię i zaczęła używać wyroczni Chainlink.