Πλατφόρμα απόδοσης πολλαπλών αλυσίδων Popsicle Finance ($ICE) υπέστη σημαντική εκμετάλλευση σήμερα, με αποτέλεσμα την απώλεια 21 εκατομμυρίων δολαρίων.
Οι αρχικές αναφορές υποστηρίζουν ότι οι επιτιθέμενοι εκμεταλλεύτηκαν ένα ελάττωμα στον μηχανισμό λογιστικής χρέωσης, εξαντλώντας αρκετά token στη διαδικασία.
Επιπλέον, το εν λόγω πρωτόκολλο, Σορμπέτο Φραγκόλα, ελέγχθηκε από Περικάρπιο. Αναμφισβήτητα δίνοντας στους επενδυτές μια ψευδή αίσθηση εμπιστοσύνης για την ευρωστία του έξυπνου συμβολαίου.
«Το Sorbetto Fragola επιτρέπει στους χρήστες να παρέχουν κεφάλαια, τα οποία στη συνέχεια χρησιμοποιούνται για την παροχή ρευστότητας (LP) στο Uniswap V3, με τη στρατηγική Popsicle να διασφαλίζει ότι τα κεφάλαια δεν βρίσκονται ποτέ εκτός του εύρους LP».
Αυτό το τελευταίο περιστατικό θέτει περαιτέρω υπό αμφισβήτηση τον σκοπό των ελέγχων έξυπνων συμβολαίων και κατά πόσον έχουν κάποια αξία.
Τι συνέβη με την Popsicle Finance;
Περικάρπιο δημοσίευσε τον έλεγχό του για το Sorbetto Fragola στο GitHub στις 28 Ιουνίου. Αλλά παραδόξως, αυτή η έκθεση ελέγχου φαίνεται να λείπει σελίδες από την αρχή της έκθεσης.
Ωστόσο, η έξυπνη αναθεώρηση του κώδικα συμβολαίου τους ανέδειξε έξι σφάλματα κωδικοποίησης, τέσσερα από τα οποία ταξινομήθηκαν ως μέτριας σοβαρότητας, ένα χαμηλής σοβαρότητας και ένα ενημερωτικό.
Η αναφορά αναφέρει ότι πέντε από τα έξι σφάλματα επιδιορθώθηκαν, με το μέτριας σοβαρότητας ζήτημα του "Εσφαλμένου υπολογισμού ποσού στο burnLiquidityShare()" να είναι "Επιβεβαιωμένο".
Τα σημειωθέντα σφάλματα δεν ανέφεραν ελαττώματα που σχετίζονται με τη λογιστική χρέωση.
Το Popsicle Finance έγινε αντικείμενο εκμετάλλευσης, χάκερ αποστράγγισε ~25 εκατομμύρια δολάρια. Το hack ήταν πολύπλοκο, αλλά το σφάλμα ήταν απλό. Κατακερματισμός TX: https://t.co/CqyVvCq5I7
Βασικά, το Popsicle δεν μεταφέρει το χρέος ανταμοιβής όταν οι χρήστες μεταφέρουν τις μετοχές τους. Αυτό εκθέτει πολλαπλά exploit, ένα από τα οποία χρησιμοποιήθηκε εδώ 🧵👇 pic.twitter.com/shdYdyemD9
- Mudit Gupta (@Mudit__Gupta) Αύγουστος 4, 2021
Στη νεκροψία για όσα συνέβησαν, Περικάρπιο είπε ότι ζητήματα που σχετίζονται με την ορθή λογιστική αμοιβή επέτρεψαν στον χάκερ να συλλέξει ανταμοιβές που δεν δικαιούνταν. Η επανάληψη της διαδικασίας σε άλλες επτά ομάδες πολλαπλασίασε τα κέρδη τους.
«Το hack οφειλόταν στην έλλειψη σωστής λογιστικής χρέωσης όταν μεταφέρονται τα διακριτικά LP. Συγκεκριμένα, ο εισβολέας δημιουργεί τρία συμβόλαια A, B και C και επαναλαμβάνει στις ακολουθίες των A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() για οκτώ πισίνες."
Το τελικό αποτέλεσμα ήταν μια συνολική απώλεια $ 20.7 εκατομμύρια που αποτελείται από 2.6K WETH, 5.4 εκατομμύρια USDC, 5 εκατομμύρια USDT, 160K DAI, 10K UNI και 96 WBTC.
Η CipherTrace προειδοποιεί ότι η απάτη στο DeFi βρίσκεται σε επίπεδα ρεκόρ
Εταιρεία αναλυτικών στοιχείων Blockchain CipherTrace αναφέρει ότι ενώ το έγκλημα κρυπτογράφησης μειώνεται το 2021, η απάτη DeFi βρίσκεται σε επίπεδα ρεκόρ.
Για τους τέσσερις μήνες έως τον Απρίλιο του 2021, οι εγκληματίες κρυπτογράφησης έκλεψαν 432 εκατομμύρια δολάρια, με το 56% αυτών, ή 240 εκατομμύρια δολάρια, να προέρχονται από εγκλήματα που σχετίζονται με το DeFi.
Ο Διευθύνων Σύμβουλος της CipherTrace, Dave Jevans είπε ότι όσο το DeFi γίνεται μεγαλύτερο, οι κακοί ηθοποιοί θα συνεχίσουν να εκμεταλλεύονται την ανεπαρκή ασφάλεια έξυπνων συμβολαίων.
«...οι κακοί ηθοποιοί θα επιδιώξουν να εκμεταλλευτούν τη διαφημιστική εκστρατεία για να τραβήξουν τους ανθρώπους σε απάτες και οι χάκερ θα αναζητήσουν έργα που έχουν ξεκινήσει χωρίς να πραγματοποιήσουν επαρκείς ελέγχους ασφαλείας, εκμεταλλευόμενοι τα κενά που κωδικοποιούνται στα έξυπνα συμβόλαια».
Περικάρπιο κατέληξε στο συμπέρασμα ότι το Sorbetto Fragola είχε μια «σαφώς οργανωμένη» βάση κωδικών και ότι τα εντοπισμένα προβλήματα διορθώθηκαν ή επιβεβαιώθηκαν. Αλλά αυτό είναι μικρή παρηγοριά για τους επενδυτές που έχασαν χρήματα.
Πάρτε μια άκρη στην αγορά κρυπτογράφησης
Αποκτήστε πρόσβαση σε περισσότερες πληροφορίες και περιεχόμενο κρυπτογράφησης σε κάθε άρθρο ως πληρωμένο μέλος του CryptoSlate Edge.
Ανάλυση στην αλυσίδα
Στιγμιότυπα τιμών
Περισσότερο πλαίσιο
Να σου αρέσει ό, τι βλέπεις? Εγγραφείτε για ενημερώσεις.
Πηγή: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/
- 7
- 9
- Λογιστήριο
- Πλεονέκτημα
- Όλα
- analytics
- Απρίλιος
- άρθρο
- έλεγχος
- Έντομο
- σφάλματα
- Διευθύνων Σύμβουλος
- CipherTrace
- κωδικός
- Κωδικοποίηση
- ερχομός
- εμπιστοσύνη
- ΣΥΝΕΧΕΙΑ
- σύμβαση
- συμβάσεις
- Έγκλημα
- Εγκληματίες
- κρυπτο
- DAI
- Χρέος
- Defi
- DID
- Εκμεταλλεύομαι
- χρηματοδότηση
- Εταιρεία
- ελάττωμα
- ελαττώματα
- Για τους επενδυτές
- απάτη
- χρήματα
- GitHub
- Δίνοντας
- σιδηροπρίονο
- χάκερ
- χάκερ
- χασίσι
- εδώ
- HTTPS
- ιδέες
- Επενδυτές
- θέματα
- ενταχθούν
- αργότερο
- Ρευστότητα
- LP
- Κατασκευή
- medium
- εκατομμύριο
- χρήματα
- μήνες
- ΑΛΛΑ
- People
- πλατφόρμες
- Πισίνες
- τιμή
- σχέδιο
- έργα
- σειρά
- αναφέρουν
- Εκθέσεις
- Reuters
- ανασκόπηση
- Ανταμοιβές
- απάτες
- ασφάλεια
- αίσθηση
- Μερίδια
- Απλούς
- ΕΞΙ
- έξυπνος
- έξυπνη σύμβαση
- Έξυπνα συμβόλαια
- Εκκίνηση
- Μελών
- επιτραχήλιο
- Στρατηγική
- κουπόνια
- Τουίτερ
- Απενεργοποίηση
- ενημερώσεις
- USDC
- USDT
- Χρήστες
- wBTC
- Ο ΟΠΟΊΟΣ
- Βελτιστοποίηση