پروژه حسابرسی شده DeFi Popsicle Finance با قیمت 21 میلیون دلار مورد بهره برداری قرار می گیرد

پلت فرم عملکرد چند زنجیره ای مالی Popsicle ($ICE) امروز متحمل سوء استفاده قابل توجهی شد که منجر به ضرر 21 میلیون دلاری شد.

گزارش‌های اولیه ادعا می‌کنند که مهاجمان از نقصی در مکانیزم حسابداری هزینه استفاده کرده و چندین توکن را در این فرآیند تخلیه کرده‌اند.

علاوه بر این، پروتکل مورد نظر، سوربتو فراگولا، توسط حسابرسی شد میخانه. مسلماً به سرمایه گذاران یک حس کاذب از اعتماد به نفس در استحکام قرارداد هوشمند می دهد.

Sorbetto Fragola به کاربران اجازه می‌دهد وجوهی را ارائه کنند که سپس برای تامین نقدینگی (LP) در Uniswap V3 استفاده می‌شود، با استراتژی Popsicle اطمینان حاصل می‌کند که وجوه هرگز خارج از محدوده LP نیست.

این حادثه اخیر هدف ممیزی قراردادهای هوشمند و اینکه آیا آنها اصلاً شایستگی دارند یا خیر را زیر سؤال می برد.

با Popsicle Finance چه اتفاقی افتاد؟

میخانه ممیزی خود از Sorbetto Fragola را در GitHub در 28 ژوئن منتشر کرد. اما به طور عجیبی، به نظر می رسد که این گزارش حسابرسی صفحاتی از ابتدای گزارش را از دست داده است.

با این وجود، بررسی کد قرارداد هوشمند آنها شش اشکال کدگذاری را نشان داد که چهار مورد از آنها به عنوان شدت متوسط، یکی با شدت کم و یکی اطلاعاتی طبقه بندی شدند.

این گزارش بیان می‌کند که پنج باگ از شش باگ برطرف شده‌اند و مشکل متوسط ​​«محاسبه مقدار نادرست در burnLiquidityShare()» با شدت متوسط ​​«تأیید شد».

اشکالات ذکر شده به ایرادات مربوط به حسابداری هزینه اشاره ای نکردند.

Popsicle Finance مورد سوء استفاده قرار گرفت، هکرها 25 میلیون دلار را تخلیه کردند. هک پیچیده بود اما باگ ساده بود. هش TX: https://t.co/CqyVvCq5I7

اساساً، Popsicle وقتی کاربران سهام خود را انتقال می دهند، بدهی پاداش را منتقل نمی کند. این اکسپلویت های متعددی را نشان می دهد که یکی از آنها در اینجا استفاده شده است 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (Mudit__Gupta) اوت 4، 2021

در آخرالزمان اتفاقی که افتاد، میخانه گفت: مسائل مربوط به حسابداری مناسب کارمزد هکر را قادر می‌سازد تا پاداش‌هایی را که مستحق دریافت آن نبودند، جمع‌آوری کند. تکرار این فرآیند در هفت استخر دیگر، سود آنها را چند برابر کرد.

این هک به دلیل عدم حسابداری مناسب هزینه هنگام انتقال توکن های LP بود. به طور خاص، مهاجم سه قرارداد A، B و C ایجاد می کند و در دنباله های A.deposit()، A.transfer(B)، B.collectFees()، B.transfer(C)، C.collectFees() برای هشت استخر."

نتیجه نهایی از دست دادن کل بود 20.7 میلیون دلار متشکل از 2.6 هزار WETH، 5.4 میلیون USDC، 5 میلیون USDT، 160 هزار DAI، 10 هزار UNI و 96 WBTC.

CipherTrace هشدار می دهد که تقلب در DeFi در سطوح بی سابقه است

بنگاه تحلیلی Blockchain CipherTrace گزارش می دهد که در حالی که جرایم رمزنگاری در سال 2021 رو به کاهش است، کلاهبرداری DeFi در سطوح بی سابقه ای قرار دارد.

برای چهار ماه منتهی به آوریل 2021، مجرمان کریپتو 432 میلیون دلار سرقت کردند که 56 درصد آن یا 240 میلیون دلار مربوط به جرایم مربوط به DeFi بود.

مدیرعامل CipherTrace، Dave Jevans گفت: با بزرگتر شدن DeFi، بازیگران بد به سوء استفاده از امنیت قراردادهای هوشمند ناکافی ادامه خواهند داد.

بازیگران بد به دنبال سوء استفاده از هیاهو برای کشاندن مردم به کلاهبرداری هستند و هکرها به دنبال پروژه هایی خواهند بود که بدون انجام ممیزی های امنیتی کافی راه اندازی شده اند و از حفره های رمزگذاری شده در قراردادهای هوشمند سوء استفاده می کنند.

میخانه به این نتیجه رسیدند که Sorbetto Fragola یک پایگاه کد "به وضوح سازماندهی شده" دارد و مشکلات شناسایی شده ثابت یا تایید شده است. اما این تسلی کمی برای سرمایه گذارانی است که پول خود را از دست داده اند.

چیزی که میبینی را دوست داری؟ مشترک شدن برای به روزرسانی ها

منبع: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/