YFI出手，能否挽回酸黄瓜的颓势？

11月24日晚上，DeFi协议Pickle Finance宣布并入Yearn.finance，从目前来看，这或许是Pickle应对黑客进犯的最好解决方案。

依据YFI创始人Andre Cronje的文章，Pickle和Yearn的开发人员现已规划出一种结构，可以使两个项目可以共生地协同作业，兼并是为了减少重复的作业，添加专业化程度，同享专业知识。

为什么Pickle会和Yearn进行兼并呢？21日，因为Pickle的一个缝隙，导致其丢失了近2000万美元的DAI，该缝隙运用了涉及Pickle的DAI pJar战略，该战略运用Compound协议经过DAI存款来取得收益。进犯产生之后，一群白帽黑客与Pickle团队取得联系，并在此之后紧密协作，这其间就包括Yearn中心开发人员。

遭到Pickle被进犯的影响，PICKLE代币从23.27美元一路跌至8.70美元低点，暴降62％。后期根据Pickle团队的积极作为，价格开端逐步回调，遭到Pickle与Yearn兼并消息影响，直接反弹至进犯后最高点20.1美元。

01

进犯回顾

首先了解一下Pickle是什么？Pickle是一种收益汇总服务，经过向以太坊、其他安稳币或其原生数字财物PICKLE供给的利息和代币支付，奖赏向其各种安稳币池供给流动性的用户。Pickle的方针很清晰，帮助脱锚的安稳币可以不断趋近于锚定价格。

9月10日Pickle正式敞开流动性挖矿，在此之后，V神还曾发推称赞Pickle，使其代币价格暴升超10倍，从6美元直接飙升超过80美元。

而21日的进犯，导致Pickle不仅丢失了近价值2000万的DAI，与此一起，10小时之内其代币PICKLE价格直接腰斩，从高点的23.27美元，骤跌至8.7美元，而市值又蒸发近1500万美元。

 来历：coingecko

关于Pickle被进犯过程原因，慢雾科技进行了简略的描述。总结而言，进犯者经过调用Controller合约中的swapExactJarForJar函数时，假造_fromJar和_toJar的合约地址，经过转入假币而交换合约中的真DAI，完成了进犯获利。具体分析如下：

1.假造Jar，设定抽取合约的DAI数量

项目的Controller合约中的swapExactJarForJar函数答应传入两个任意的jar合约地址进行代币的兑换，其间的_fromJar, _toJar, _fromJarAmount, _toJarMinAmount都是用户可以操控的变量，进犯者运用这个特性，将_fromJar 和_toJar都填上自己的地址，_fromJarAmount是进犯者设定的要抽取合约的DAI的数量，约2000万DAI。

2.合约中获取token：DAI

运用swapExactJarForJar函数进行兑换过程中，合约会经过传入的_fromJar合约和_toJar合约的token()函数获取对应的token是什么，用于指定兑换的财物。而因为_fromJar合约和_toJar 合约都是进犯者传入的，导致运用token()函数获取的值也是可控的，这儿从_fromJar合约和_toJar合约获取到的token是DAI。

3.兑换产生，真假token搬运

此刻产生兑换，Controller合约运用transferFrom函数从_fromJar合约转入一定量的ptoken，但是因为fromJar合约是进犯者操控的地址，所以这儿转入的ptoken是进犯者的假币。一起，因为合约从_fromJar合约中获取的token是DAI，然后合约会判别合约里的资金是否足够用于兑换，假如不行，会从战略池中换回一定量的代币，然后转到Controller合约中。在本次的进犯中，合约中的DAI缺乏以用于兑换，此刻合约会从战略池中提出缺乏的份额，凑够进犯者设定的2000万 DAI 。

4.兑换持续

兑换持续，Controller合约在从战略池里提出DAI凑够进犯者设定的2000万DAI后，会调用_fromJar的withdraw函数，将进犯者在第三步转入的假ptoken burn掉，然后合约判别当时合约中_toJar合约指定的token的余额是多少，因为_toJar合约指定的token是DAI，Controller合约会判别合约中剩余DAI的数量，此刻因为第三步Controller合约已凑齐2000万DAI，所以DAI的余额是2000万。

5.DAI转入进犯者操控合约中，获利完成

这时Controller合约调用_toJar合约的deposit函数将2000万DAI转入进犯者操控的_toJar合约中。到此，进犯者完成获利。

值得注意的是，这与前几天产生的闪电贷套利性质并不相同，这不是一次套利事情，因为导致Pickle被进犯的缝隙与一个月前在Yearn中发现的缝隙相似。

02

多方反响

缝隙进犯之后，Pickle官方团队的反响还算敏捷，与一群白帽黑客协作开端研讨情况，防止进一步的丢失产生，并在推特和medium上表明将实时更新调查结果。

来历：Pickle推特

因为存在进犯危险的Pickle jar中仍有5000万美元，Pickle官方在一小时之后又紧急发出警告，鼓励一切LP（即农人）从Jar中提取资金，直到问题得到解决。

23日晚，Pickle官方表明已执行时刻锁可吊销违规代码，恢复部分Jar存款，但是强调暂时仍是不要将钱存入DAI Jar。

24日早，Pickle官方发推称，针对进犯事情丢失的资金，正在与几家区块链分析公司协作进行追踪。尽管依托这些行动挽回丢失的几率很小，但官方不会发行任何IOU代币（IOU代币可以供给一部分现金流和补偿性质的质押池奖赏开释），不会阻碍协议自身展开。

24日晚，Yearn创始人Andre Cronje发文表明，Pickle和Yearn的开发人员现已规划出一种结构，以使两个项目可以共生地协同作业。两者正式兼并，一个相对而言比较圆满的结局呈现了。

官方在进犯两天之内的回应和操作尽管及时，但是2000万美元丢失现已形成，很多用户在推特上诉苦丢失惨重。其间CNBC主持人Ran Neuner也是受害人之一，他自称是Pickle持币大户，无法原谅2000万美元被盗的行为，但仍是选择信任Pickle会恢复的。

此外，根据Pickle Jar是Yearn yVaults的分叉，并且Yearn曾呈现过相似缝隙，引来不少争议。进犯事情不久，Yearn官方不得不正面回应，表明Yearn没有任何资金存入Pickle Finance产品，yVaults也没有遭到最近Pickle Finance被盗事情的影响。

03

两者兼并

24日晚，Andre Cronje发文称，Pickle和Yearn将要协同作业，意味着Yearn接下了Pickle的烫手山芋。

来历：推特

关于两者兼并的关键点内容如下：

1. Pickle Jars和Yearn’s v2 Vaults兼并；

2. Pickle推出奖赏Gauges，Pickle开释依然存在，代币经过奖赏Gauges分配；

3.Yearn Vault储户可以经过将Vault份额存储在Gauges中来取得额定的奖赏；

4. Pickle Governance参与者将Pickle锁定在设定的到期日取得投票权，并取得DILL；

5. Yearn vault可以经过锁定Pickle得到DILL取得额定的奖赏，最高可达2.5倍，他们持有的DILL越多，奖赏就越大；

6. Gauge存款、取款、履约和协议费用归DILL持有人；

7. 一个跟踪最近Jar进犯所形成的丢失新代币CORNICHON，按比例分配给进犯的受害者。

本质上来讲，Pickle Jar是Yearn yVaults的分叉，Yearn一直以来也将Pickle视为“弟弟”般的存在，在进犯之后，Yearn的中心开发人员也在积极地同Pickle展开协作，关于Pickle被并入Yearn，好像也是意料之中，在外界看来，两者协作也是双赢的。

Pickle和Yearn社区关于兼并的反响也是十分支撑，但是引来了更多用户关于去中心化的质疑。因为在这次兼并中，Pickle和Yearn社区都没有任何发言权。Yearn的tracheopteryx直接表明没投票的原因是因为没什么可投票的。

不得不供认的是，从多个DeFi项目的展开来看，中心开发人员的确拥有中心发言权。当然Pickle在这种情况下，选择与Yearn兼并，的确是抢救Pickle并实现社区利益的最大化的不二之选。

04

小结

Ran Neuner在推特中曾表明，“每一次黑客进犯，每一个缝隙都使DeFi更强壮”，但是实际如此？一个月前相似的缝隙现已被警示过，而一个月之后Pickle却因相似缝隙被进犯丢失近2000万美元。

关于从前现已进行过安全审计的Pickle而言，还呈现如此缝隙，更是使Pickle深陷言论，一起安全审计公司的审计操作以及DeFi的安全问题再次引发用户热议。

对Pickle进行过安全审计的审计公司Haechi22日澄清，10月进行了一次审计，但是进犯者运用的缝隙产生在新创建的智能合约中，而不是承受安全审计的智能合约中。与此次缝隙进犯相关的代码是“controller-v4.sol”中“swapExactJarForJar”；而此前安全审计是针对“controller-v3.sol”，不包括“swapExactJarForJar”。

Pickle进犯事情，再次敲响DeFi安全警钟，安全审计也并非是一次性的，而有必要是一个循环往复、屡次查漏的过程。一起DeFi会成为黑客的天堂还有一个很重要的原因便是DeFi项目的快速开发，过分逐利导致缝隙百出。最近DeFi逐步回归平静，也希望可以过滤掉逐利者，给开发者更多时刻研发优质的DeFi项目。

视野开拓

这里的关键词是“快”。然而，持股时间越长，公司内在经济模式对业绩结果的影响越大。这样，长期投资者寻求那些具有长久保质期的答案。如果投资者要一直持有一只股票的话，今天有用的答案或许需要在十年后仍然是有用的。具有长久保质期的信息比关于下个月盈利的提前知识要有价值得多。我们寻求和我们的持股期限相匹配的洞察力。这些认识主要与资本配置相关，并可以通过观察公司的广告、营销、研发支出、资本开支、债务水平、股票回购/发行并购活动等来得到。-《资本回报·穿越资本周期的投资》