'অডিটেড' ডিফাই প্রজেক্ট পপসিকাল ফাইন্যান্স $21 মিলিয়নের জন্য শোষিত হয়

প্লেটো দ্বারা প্রকাশিত

অনুসরণকারী: 0

মাল্টিচেন ফলন প্ল্যাটফর্ম পপসিকল ফিন্যান্স ($ICE) আজ একটি উল্লেখযোগ্য শোষণের শিকার হয়েছে, যার ফলে $21 মিলিয়ন ক্ষতি হয়েছে।

প্রাথমিক প্রতিবেদনে দাবি করা হয়েছে যে আক্রমণকারীরা ফি অ্যাকাউন্টিং প্রক্রিয়ার ত্রুটির সুযোগ নিয়েছিল, প্রক্রিয়ায় বেশ কয়েকটি টোকেন নষ্ট করে দিয়েছে।

পপসিকল ফাইন্যান্স হ্যাক — ইথারস্ক্যান.আইও

আরো কি, প্রশ্নে প্রোটোকল, Sorbetto Fragola, দ্বারা নিরীক্ষিত হয়েছিল পেকশিল্ড. যুক্তিযুক্তভাবে বিনিয়োগকারীদের স্মার্ট চুক্তির দৃঢ়তার প্রতি আস্থার একটি মিথ্যা অনুভূতি প্রদান করে।

"Sorbetto Fragola ব্যবহারকারীদের তহবিল সরবরাহ করার অনুমতি দেয়, যেগুলি তখন Uniswap V3 তে তারল্য প্রদান (LP) করতে ব্যবহৃত হয়, Popsicle কৌশল নিশ্চিত করে যে তহবিলগুলি কখনই LP সীমার বাইরে না হয়।"

এই সর্বশেষ ঘটনাটি স্মার্ট কন্ট্রাক্ট অডিটের উদ্দেশ্য এবং তাদের আদৌ কোনো যোগ্যতা আছে কিনা তা নিয়ে আরও প্রশ্ন তোলে।

পপসিকল ফাইন্যান্সের সাথে কি ঘটেছে?

পেকশিল্ড 28 জুন GitHub-এ Sorbetto Fragola-এর অডিট প্রকাশ করেছে। কিন্তু আশ্চর্যজনকভাবে, সেই অডিট রিপোর্টের শুরু থেকেই পৃষ্ঠাগুলি হারিয়ে গেছে বলে মনে হচ্ছে।

তবুও, তাদের স্মার্ট চুক্তি কোড পর্যালোচনা ছয়টি কোডিং বাগ তৈরি করেছে, যার মধ্যে চারটি মাঝারি তীব্রতা, একটি নিম্ন তীব্রতা এবং একটি তথ্যগত হিসাবে শ্রেণীবদ্ধ করা হয়েছিল।

প্রতিবেদনে বলা হয়েছে যে ছয়টি বাগগুলির মধ্যে পাঁচটি সংশোধন করা হয়েছে, "বার্নলিকুইডিটিশেয়ারে ভুল পরিমাণ গণনা()" এর মাঝারি তীব্রতার সমস্যাটি "নিশ্চিত।"

উল্লিখিত বাগগুলি ফি অ্যাকাউন্টিংয়ের ক্ষেত্রে ত্রুটিগুলি উল্লেখ করেনি।

পপসিকল ফাইন্যান্স শোষণ করেছে, হ্যাকার ~25 মিলিয়ন ডলার নিঃশেষ করেছে। হ্যাক জটিল ছিল কিন্তু বাগ সহজ ছিল. TX হ্যাশ: https://t.co/CqyVvCq5I7

মূলত, যখন ব্যবহারকারীরা তাদের শেয়ার স্থানান্তর করে তখন Popsicle পুরস্কারের ঋণ স্থানান্তর করে না। এটি একাধিক শোষণকে প্রকাশ করে, যার একটি এখানে ব্যবহৃত হয়েছিল 🧵👇 pic.twitter.com/shdYdyemD9

- মুদিত গুপ্ত (@ মুডিত__ গুপ্ত) আগস্ট 4, 2021

ময়নাতদন্তে যা ঘটেছিল, পেকশিল্ড বলেছেন যে যথাযথ ফি অ্যাকাউন্টিং সম্পর্কিত সমস্যাগুলি হ্যাকারকে পুরষ্কার সংগ্রহ করতে সক্ষম করেছে যা তারা প্রাপ্য ছিল না। অন্য সাতটি পুল জুড়ে প্রক্রিয়াটি পুনরাবৃত্তি করা তাদের লাভকে বহুগুণ করে।

“এলপি টোকেন স্থানান্তর করার সময় সঠিক ফি অ্যাকাউন্টিংয়ের অভাবের কারণে হ্যাক হয়েছে। বিশেষভাবে, আক্রমণকারী তিনটি চুক্তি A, B, এবং C তৈরি করে এবং A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() এর ক্রমানুসারে পুনরাবৃত্তি করে। আটটি পুলের জন্য।"

popsicle ফাইন্যান্স শোষণ ক্রম — @peckshield Twitter.com-এ

শেষ ফলাফল একটি মোট ক্ষতি ছিল $ 20.7 মিলিয়ন এর মধ্যে রয়েছে 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI, এবং 96 WBTC।

CipherTrace সতর্ক করে যে DeFi জালিয়াতি রেকর্ড মাত্রায়

ব্লকচেইন অ্যানালিটিক্স ফার্ম সাইফারট্রেস রিপোর্ট করে যে 2021 সালে যখন ক্রিপ্টো অপরাধ হ্রাস পাচ্ছে, ডিফাই জালিয়াতি রেকর্ড স্তরে রয়েছে।

এপ্রিল 2021 থেকে চার মাস পর্যন্ত, ক্রিপ্টো অপরাধীরা $432 মিলিয়ন চুরি করেছে, যার 56% বা $240 মিলিয়ন, এসেছে DeFi সম্পর্কিত অপরাধ থেকে।

CipherTrace-এর সিইও, ডেভ জেভানস বলেন, DeFi বড় হওয়ার সাথে সাথে খারাপ অভিনেতারা অপর্যাপ্ত স্মার্ট চুক্তি নিরাপত্তাকে কাজে লাগাতে থাকবে।

"...খারাপ অভিনেতারা লোকেদের কেলেঙ্কারীতে আকৃষ্ট করার জন্য প্রচারের সুবিধা নিতে চাইবে এবং হ্যাকাররা পর্যাপ্ত নিরাপত্তা অডিট না করে চালু করা প্রকল্পগুলি খুঁজবে, স্মার্ট চুক্তিতে এনকোড করা ত্রুটিগুলিকে কাজে লাগিয়ে।"

পেকশিল্ড উপসংহারে পৌঁছেছেন যে Sorbetto Fragola-এর একটি "স্পষ্টভাবে সংগঠিত" কোডবেস ছিল, এবং চিহ্নিত সমস্যাগুলি স্থির বা নিশ্চিত করা হয়েছে৷ কিন্তু অর্থ হারিয়েছে এমন বিনিয়োগকারীদের জন্য এটি সামান্য সান্ত্বনা।