Le projet DeFi «audité» Popsicle Finance est exploité pour 21 millions de dollars

Plateforme de rendement multichaîne Finance de popsicle ($ICE) a subi un exploit important aujourd'hui, entraînant une perte de 21 millions de dollars.

Les premiers rapports affirment que les attaquants ont profité d'une faille dans le mécanisme de comptabilité des frais, drainant plusieurs jetons dans le processus.

De plus, le protocole en question, Sorbet Fragola, a été audité par Bouclier. Donner sans doute aux investisseurs un faux sentiment de confiance dans la robustesse du contrat intelligent.

"Sorbetto Fragola permet aux utilisateurs de fournir des fonds, qui sont ensuite utilisés pour fournir des liquidités (LP) sur Uniswap V3, la stratégie Popsicle garantissant que les fonds ne sont jamais en dehors de la gamme LP."

Ce dernier incident remet en question le but des audits de contrats intelligents et leur utilité.

Que s'est-il passé avec Popsicle Finance ?

Bouclier a publié son audit de Sorbetto Fragola sur GitHub le 28 juin. Mais étrangement, ce rapport d'audit semble manquer de pages depuis le début du rapport.

Néanmoins, leur examen du code des contrats intelligents a révélé six bogues de codage, dont quatre ont été classés comme étant de gravité moyenne, un de gravité faible et un informatif.

Le rapport indique que cinq des six bogues ont été corrigés, le problème de gravité moyenne « Calcul du montant incorrect dans burnLiquidityShare () » étant « Confirmé ».

Les bogues notés ne mentionnaient pas de défauts liés à la comptabilité des frais.

Popsicle Finance exploité, un pirate a drainé environ 25 millions de dollars. Le hack était complexe mais le bug était simple. Hachage TX : https://t.co/CqyVvCq5I7

Fondamentalement, Popsicle ne transfère pas la dette de récompense lorsque les utilisateurs transfèrent leurs actions. Cela expose plusieurs exploits, dont l'un a été utilisé ici 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) 4 août 2021

Dans le post mortem de ce qui s'est passé, Bouclier ces problèmes liés à la comptabilisation appropriée des frais ont permis au pirate informatique de collecter des récompenses auxquelles il n'avait pas droit. La répétition du processus sur sept autres pools a multiplié leurs gains.

« Le piratage était dû à l'absence de comptabilité des frais appropriée lorsque les jetons LP sont transférés. Plus précisément, l'attaquant crée trois contrats A, B et C et se répète dans les séquences de A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() pour huit piscines.

Le résultat final a été une perte totale de 20.7 millions de dollars consistant 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI et 96 WBTC.

CipherTrace avertit que la fraude DeFi est à des niveaux record

Cabinet d'analyse Blockchain CipherTrace rapporte que si la criminalité cryptographique est en baisse en 2021, la fraude DeFi est à des niveaux record.

Pour les quatre mois jusqu'en avril 2021, les crypto-criminels ont volé 432 millions de dollars, dont 56%, soit 240 millions de dollars, provenaient de crimes liés à DeFi.

Le PDG de CipherTrace, Dave Jevans, a déclaré qu'à mesure que DeFi grandit, les mauvais acteurs continueront d'exploiter la sécurité inadéquate des contrats intelligents.

« ... les mauvais acteurs chercheront à profiter du battage médiatique pour attirer les gens dans les escroqueries et les pirates informatiques rechercheront des projets qui ont été lancés sans effectuer d'audits de sécurité adéquats, en exploitant les failles encodées dans les contrats intelligents. »

Bouclier a conclu que Sorbetto Fragola avait une base de code « clairement organisée », et que les problèmes identifiés étaient corrigés ou confirmés. Mais c'est peu de consolation pour les investisseurs qui ont perdu de l'argent.

Vous aimez ce que vous voyez? Abonnez-vous pour les mises à jour.

Source : https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/