El proyecto DeFi 'auditado' Popsicle Finance se explota por $ 21 millones

Plataforma de rendimiento multicadena Finanzas de paletas ($ ICE) sufrió una explotación significativa hoy, lo que resultó en una pérdida de $ 21 millones.

Los informes iniciales afirman que los atacantes se aprovecharon de una falla en el mecanismo de contabilidad de tarifas, agotando varios tokens en el proceso.

Además, el protocolo en cuestión, Sorbeto Fragola, fue auditado por peckshield. Podría decirse que da a los inversores una falsa sensación de confianza en la solidez del contrato inteligente.

"Sorbetto Fragola permite a los usuarios proporcionar fondos, que luego se utilizan para proporcionar liquidez (LP) en Uniswap V3, con la estrategia Popsicle que se asegura de que los fondos nunca estén fuera del rango de LP".

Este último incidente cuestiona aún más el propósito de las auditorías de contratos inteligentes y si tienen algún mérito.

¿Qué pasó con Popsicle Finance?

peckshield publicó su auditoría de Sorbetto Fragola en GitHub el 28 de junio. Pero, extrañamente, ese informe de auditoría parece faltar páginas desde el inicio del informe.

No obstante, su revisión del código de contrato inteligente reveló seis errores de codificación, cuatro de los cuales se clasificaron como de gravedad media, uno de gravedad baja y uno informativo.

El informe indica que cinco de los seis errores se solucionaron, con el problema de gravedad media de "Cálculo de cantidad incorrecta en burnLiquidityShare ()" siendo "Confirmado".

Los errores notados no mencionaron fallas relacionadas con la contabilidad de tarifas.

Popsicle Finance explotado, pirata informático agotado ~ $ 25 millones. El truco fue complejo pero el error fue simple. TX Hash: https://t.co/CqyVvCq5I7

Básicamente, Popsicle no transfiere la deuda de recompensa cuando los usuarios transfieren sus acciones. Esto expone múltiples exploits, uno de los cuales se usó aquí 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) 4 de agosto de 2021

En la autopsia de lo sucedido, peckshield dijo que los problemas relacionados con la contabilidad adecuada de las tarifas permitían al pirata informático cobrar recompensas a las que no tenía derecho. La repetición del proceso en otros siete grupos multiplicó sus ganancias.

“El truco se debió a la falta de una contabilidad de tarifas adecuada cuando se transfieren los tokens LP. Específicamente, el atacante crea tres contratos A, B y C y repite en las secuencias de A.deposit (), A.transfer (B), B.collectFees (), B.transfer (C), C.collectFees () para ocho piscinas ".

El resultado final fue una pérdida total de 20.7 millones de dólares que consiste en 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI y 96 WBTC.

CipherTrace advierte que el fraude de DeFi está en niveles récord

Empresa de análisis de blockchain CipherTrace informa que, si bien el crimen criptográfico está disminuyendo en 2021, el fraude DeFi se encuentra en niveles récord.

Durante los cuatro meses hasta abril de 2021, los delincuentes criptográficos robaron 432 millones de dólares, de los cuales el 56%, o 240 millones de dólares, provienen de delitos relacionados con DeFi.

El CEO de CipherTrace, Dave Jevans, dijo que a medida que DeFi se hace más grande, los malos actores continuarán explotando la seguridad inadecuada de los contratos inteligentes.

"... los malos actores buscarán aprovechar la exageración para atraer a las personas a estafas y los piratas informáticos buscarán proyectos que se hayan lanzado sin realizar auditorías de seguridad adecuadas, explotando las lagunas codificadas en los contratos inteligentes".

peckshield llegó a la conclusión de que Sorbetto Fragola tenía un código base "claramente organizado" y que los problemas identificados fueron corregidos o confirmados. Pero esto es un pequeño consuelo para los inversores que perdieron dinero.

¿Te gusta lo que ves? Suscríbase para recibir actualizaciones.

Fuente: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/