Il popolare protocollo di finanza decentralizzata Pickle Finance ha subito un hack nella giornata di sabato 21 novembre, che ha prosciugato 19,7 milioni $ in DAI, una stablecoin decentralizzata ancorata al dollaro USA, da un portafoglio Pickle.
Crolla il prezzo del token Pickle
“Secondo alcuni report, la nostra strategia DAI PickleJar è stata usata in modo fraudolento. Stiamo valutando attivamente la situazione e forniremo ulteriori aggiornamenti”, ha annunciato il team di Pickle Finance sul proprio account Twitter ufficiale.
Il prezzo del token nativo di Pickle (quotazione PICKLE) è sceso del 50,12% a 10,17 $ quando è emersa la notizia, riportano i dati di Messari. Da allora è leggermente in rialzo ed al momento della stampa vale circa 12,70 $. Pickle è entrato in scena l’11 settembre scorso come uno dei tanti progetti DeFi a scopo di rendimento.
Il sistema completamente automatizzato premia gli utenti con pagamenti di interessi e distribuzione di token PICKLE, ether e stablecoin per fornire liquidità a diversi pool di stablecoin. Il progetto ha tentato di portare stabilità alla curva dei prezzi delle quattro principali stablecoin, DAI, USDC, USDT e sUSD, che sono spesso staccate dal loro ancoraggio al dollaro.
I pJars di Pickle, simili ai caveau di yearn.finance, hanno trovato ed eseguito opportunità di arbitraggio tra i depositi di stablecoin su diversi protocolli, di fatto per spingere queste stablecoin verso il loro ancoraggio, ma anche per premiare gli utenti di Pickle.
Venerdì della scorsa settimana, il team ha introdotto il Jar cDAI, una nuova strategia volta a massimizzare i rendimenti dei DAI depositati sul protocollo di prestito decentralizzato Compound.
Un attacco ben pianificato
Il team di Pickle e un gruppo di “white hat hacker” si sono subito messi a lavoro sul problema. Il primo passo dopo l’hack è stato decodificare la transazione e provare a riscrivere il codice per replicare l’attacco.
Dopo tre ore e mezza, il team (che ora conta più di 10 persone) ha finalmente capito come è stato eseguito l’attacco ed ha rintracciato uno specifico smart contract associato al furto di DAI del valore di 19.759.355 $, secondo un post.
“Si è trattato di un attacco molto complicato e ha coinvolto molti componenti del protocollo Pickle. Al momento, non sembra che altri fondi siano a rischio”, hanno detto. “Mentre lavoriamo alla correzione per rimuovere il vettore di attacco, il gruppo White Hat ha stabilito che non venga pubblicato temporaneamente alcun dettaglio effettivo dell’attacco”.
Il team sta lavorando per risolvere il problema nel minor tempo possibile. Nel frattempo, “Stiamo incoraggiando tutti gli LP a ritirare i propri fondi dai fino a quando i problemi non saranno stati risolti”, ha twittato il team di Pickle.
