'Revideret' DeFi-projekt Popsicle Finance bliver udnyttet for 21 millioner dollars

Multichain udbytteplatform Popsicle Finans ($ ICE) lidt en betydelig udnyttelse i dag, hvilket resulterede i et tab på $ 21 millioner.

Indledende rapporter hævder, at angriberne udnyttede en fejl i gebyrregnskabsmekanismen og drænede flere tokens i processen.

Hvad mere er, den pågældende protokol, Sorbetto Fragola, blev revideret af Peckshield. Det giver uden tvivl investorerne en falsk følelse af tillid til robustheden af ​​den smarte kontrakt.

"Sorbetto Fragola giver brugerne mulighed for at stille midler til rådighed, der derefter bruges til likviditetstilførsel (LP) på Uniswap V3, med Popsicle -strategien, der sikrer, at midlerne aldrig er uden for LP -serien."

Denne seneste hændelse sætter yderligere spørgsmålstegn ved formålet med intelligente kontraktrevisioner, og om de overhovedet har nogen fortjeneste.

Hvad skete der med Popsicle Finance?

Peckshield offentliggjorde sin revision af Sorbetto Fragola på GitHub den 28. juni. Men underligt nok ser den revisionsrapport ud til at mangle sider fra starten af ​​rapporten.

Ikke desto mindre viste deres smarte kontraktkode -anmeldelse seks kodende fejl, hvoraf fire blev klassificeret som mellemstore sværhedsgrader, en lav sværhedsgrad og en informativ.

Rapporten fastslår, at fem af de seks fejl blev rettet, og spørgsmålet om mellemværdighed om "Forkert mængdeberegning i burnLiquidityShare ()" blev "Bekræftet".

De noterede fejl nævner ikke fejl i forbindelse med gebyrregnskab.

Popsicle Finance udnyttet, hackeren drænede ~$25 mio. Hacket var komplekst, men fejlen var enkel. TX Hash: https://t.co/CqyVvCq5I7

Dybest set overfører Popsicle ikke belønningsgælden, når brugere overfører deres aktier. Dette afslører flere udnyttelser, hvoraf den ene blev brugt her 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) August 4, 2021

I obduktionen af, hvad der skete, Peckshield sagde spørgsmål i forbindelse med korrekt gebyrregnskab gjorde det muligt for hackeren at indsamle belønninger, de ikke var berettiget til. Gentagelse af processen på tværs af syv andre puljer multiplicerede deres gevinster.

"Hacket skyldtes manglen på korrekt gebyrregnskab, når LP -tokens overføres. Angriberen opretter specifikt tre kontrakter A, B og C og gentager i sekvenserne af A.deposit (), A.overførsel (B), B.collectFees (), B.overførsel (C), C.collectFees () til otte puljer. ”

Slutresultatet var et totalt tab på $ 20.7 millioner bestående af 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI og 96 WBTC.

CipherTrace advarer om, at DeFi -svindel er på rekordniveau

Blockchain analytics firma CipherTrace rapporterer, at mens kryptokriminalitet er faldende i 2021, er DeFi-svindel på rekordhøje niveauer.

I de fire måneder til april 2021 stjal krypto -kriminelle 432 millioner dollars, hvor 56% af det eller 240 millioner dollars kom fra DeFi -relateret kriminalitet.

CEO for CipherTrace, Dave Jevans sagde, efterhånden som DeFi bliver større, vil dårlige aktører fortsat udnytte utilstrækkelig smart kontraktsikkerhed.

"... dårlige skuespillere vil søge at udnytte hypen til at trække folk ind i svindel, og hackere vil søge projekter, der er iværksat uden at udføre tilstrækkelige sikkerhedsrevisioner og udnytte smuthuller, der er kodet i de smarte kontrakter."

Peckshield konkluderede, at Sorbetto Fragola havde en "klart organiseret" kodebase, og at identificerede problemer blev rettet eller bekræftet. Men det er en lille trøst for investorer, der har tabt penge.

Ligesom hvad du ser? Abonner for opdateringer.

Kilde: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/