DeFi platform Pickle Finance gehackt, $20 miljoen DAI gestolen

Foto: BestForBest/Shutterstock

Wederom is een decentralized finance (DeFi) project beroofd. Ditmaal gaat het om Pickle Finance, een relatief nieuw yield farming platform vergelijkbaar met Yearn Finance.
Pickle heeft inmiddels bevestigd dat maar liefst $19.759.355 DAI zijn gestolen van het platform. Deze DAI werd uit de cDAI jar van het platform geroofd. Kluizen worden jars (potten) genoemd op Pickle en de cDAI kluis is verbonden met Compound.
De precieze details van de hack zijn op het moment van schrijven nog onbekend. Pickle meldt dat de hacker een zeer ingewikkelde methode toepaste. Het team van het platform heeft met enkele bekende figuren uit de DeFi-wereld de hack onderzocht met behulp van reverse engineering:

Apologies for the delay as we scramble to address the situation. We’ve created a blog post to keep track of our development and it will be updated as events occur.

We expect the fix to be in around 5 hours from now. At that point we can disclose more.https://t.co/VNcVVRwE11

— Pickle Finance (🔄,🥒) (@picklefinance) November 22, 2020

Cryptograaf ‘Orbxball’ gaf gisteren al zijn visie op wat er gebeurd is. Hij meldt onder andere dat 8 fouten in het project waren gebruikt in de hack en dat dit alleen mogelijk was doordat alle 8 fouten tegelijkertijd plaatsvonden. Zelfs als maar één van deze fouten was gerepareerd, was de hack al onmogelijk geweest.

5/ There are actually 8 flaws utilized in this exploit. YET, there’s one thing worth pointing out. This exploit only happens when these 8 flaws occur at the same time. So either 1 of 8 was fixed or didn’t even exist, there wouldn’t be this exploit.

— orbitrageur (@0xorb) November 22, 2020

De vorige reeks van deze aanvallen werden voornamelijk uitgevoerd met behulp van zogenaamde flash leningen. Dat lijkt dus deze keer niet het geval te zijn. De aanval zou meer lijken op de recente hack van DeFi-platform Akropolis, waar onlangs $2 miljoen DAI van gestolen was.

from the man himself @samczsun
similar attack vector to akro, he was able to drain by using fake jar tokens https://t.co/pws6ib5vVP pic.twitter.com/FU5M5duwGw

— state (@statelayer) November 21, 2020

Naar verluidt had Pickle nog een dag voor het voorval een nieuwe strategie toegepast op de cDAI jar. De PICKLE token van het platform heeft een grote klap te verduren gehad. De koers hiervan vloog gisterenavond onderuit van ongeveer $22.80 naar een dieptepunt van $8.70, een daling van meer dan 60% in enkele uren. Langzamerhand begint de koers weer iets te herstellen.

Kevin Schijven is sinds mei 2018 werkzaam bij Crypto Insiders en vervult daar de rol van (eind)redacteur. Met een achtergrond in ICT en bedrijfskunde, gevolgd door rechten en criminologie aan de Vrije Universiteit, brengt hij een unieke mix van vaardigheden mee. Zijn interesse in cryptocurrency ontstond door de potentie om een bedrijf op te bouwen rond nieuwe technologie. Kevin heeft inmiddels duizenden artikelen geschreven en is gespecialiseerd in het laatste crypto nieuws.