Auditeeritud DeFi projekti Popsicle Finance kasutatakse 21 miljoni dollari eest

Mitmeahelaline saagiplatvorm Popsicle Finance ($ ICE) kannatas täna märkimisväärse ärakasutamise all, mille tulemuseks oli 21 miljoni dollari suurune kahju.

Esialgsete aruannete kohaselt kasutasid ründajad ära tasuarvestusmehhanismi viga, mille käigus tühjendati mitu märgi.

Veelgi enam, kõnealune protokoll, Sorbetto Fragola, auditeeris Peckhield. Väidetavalt annab investoritele vale kindlustunde nutika lepingu tugevuse suhtes.

"Sorbetto Fragola võimaldab kasutajatel pakkuda rahalisi vahendeid, mida seejärel kasutatakse Uniswap V3 likviidsuse tagamiseks (LP), kusjuures Popsicle'i strateegia tagab, et vahendid ei jää kunagi LP-vahemikust välja."

See viimane juhtum seab veelgi kahtluse alla arukate lepingute auditite eesmärgi ja selle, kas neil on üldse eeliseid.

Mis juhtus Popsicle Finance'iga?

Peckhield avaldas oma Sorbetto Fragola auditi GitHubis 28. juunil. Kuid kummalisel kombel tundub, et sellel auditiaruandel on aruande algusest lehekülgi puudu.

Sellegipoolest leiti nende nutika lepingu koodi ülevaatus kuus kodeerimisviga, millest neli liigitati keskmise raskusastmega, üks madala raskusastmega ja üks informatiivseks.

Aruandes öeldakse, et kuuest veast viis parandati, kusjuures keskmise tõsidusega probleem "BurectLiquidityShare() vale summa arvutamine" on "Kinnitatud".

Märgitud vead ei maininud tasuarvestusega seotud vigu.

Popsicle Finance'i ära kasutati, häkker kaotas ~25 miljonit dollarit. Häkkimine oli keeruline, kuid viga oli lihtne. TX räsi: https://t.co/CqyVvCq5I7

Põhimõtteliselt ei kanna Popsicle preemiavõlga üle, kui kasutajad oma aktsiaid üle kannavad. See paljastab mitu ärakasutamist, millest ühte kasutati siin 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) August 4, 2021

Pärast seda, mis juhtus, Peckhield ütlesid, et korraliku tasuarvestusega seotud probleemid võimaldasid häkkeril koguda hüvesid, millele neil polnud õigust. Protsessi kordamine seitsmes muus kogumis suurendas nende kasumit.

"Häkkimise põhjuseks oli korraliku tasuarvestuse puudumine LP-märkide ülekandmisel. Täpsemalt loob ründaja kolm lepingut A, B ja C ning kordab järjestusi A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() kaheksa basseini jaoks.

Lõpptulemus oli täielik kaotus $ 20.7 miljonit koosneb 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI ja 96 WBTC.

CipherTrace hoiatab, et DeFi pettused on rekordtasemel

Blockchaini analüüsi ettevõte CipherTrace teatab, et kuigi krüptokuritegevus 2021. aastal väheneb, on DeFi-pettused rekordtasemel.

Nelja kuu jooksul kuni 2021. aasta aprillini varastasid krüptokurjategijad 432 miljonit dollarit, millest 56% ehk 240 miljonit dollarit pärines DeFiga seotud kuritegevusest.

CipherTrace'i tegevjuht Dave Jevans ütles, et kuna DeFi muutub suuremaks, jätkavad halvad näitlejad ebapiisava nutika lepingu turvalisuse ärakasutamist.

"...halvad näitlejad püüavad reklaami ära kasutada, et meelitada inimesi petuskeemidesse, ja häkkerid otsivad projekte, mis on käivitatud ilma piisavaid turvaauditeid läbi viimata, kasutades ära nutikatesse lepingutesse kodeeritud lünki."

Peckhield järeldas, et Sorbetto Fragolal oli "selgelt organiseeritud" koodibaas ja tuvastatud probleemid on parandatud või kinnitatud. Kuid see on väike lohutus raha kaotanud investoritele.

Meeldib, mida sa näed? Telli värskendused.

Allikas: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/