'ऑडिटेड' डेफी प्रोजेक्ट पॉप्सिकल फाइनेंस का $21 मिलियन में शोषण किया गया

मल्टीचेन उपज मंच पॉप्सिकल फाइनेंस ($ICE) को आज एक महत्वपूर्ण शोषण का सामना करना पड़ा, जिसके परिणामस्वरूप $21 मिलियन का नुकसान हुआ।

प्रारंभिक रिपोर्टों में दावा किया गया है कि हमलावरों ने शुल्क लेखांकन तंत्र में एक खामी का फायदा उठाया और इस प्रक्रिया में कई टोकन ख़त्म कर दिए।

और क्या, प्रश्नगत प्रोटोकॉल, सोरबेटो फ्रैगोला, द्वारा ऑडिट किया गया था पीकशील्ड. तर्कसंगत रूप से निवेशकों को स्मार्ट अनुबंध की मजबूती में विश्वास की झूठी भावना दे रहा है।

"सोर्बेटो फ्रैगोला उपयोगकर्ताओं को धन प्रदान करने की अनुमति देता है, जिसका उपयोग यूनिस्वैप V3 पर तरलता प्रदान (एलपी) के लिए किया जाता है, पॉप्सिकल रणनीति यह सुनिश्चित करती है कि फंड कभी भी एलपी सीमा से बाहर न हों।"

यह नवीनतम घटना स्मार्ट कॉन्ट्रैक्ट ऑडिट के उद्देश्य पर सवाल उठाती है और क्या उनमें कोई योग्यता है।

पॉप्सिकल फाइनेंस के साथ क्या हुआ?

पीकशील्ड 28 जून को GitHub पर सॉर्बेटो फ्रैगोला का अपना ऑडिट प्रकाशित किया। लेकिन अजीब बात यह है कि उस ऑडिट रिपोर्ट में रिपोर्ट की शुरुआत से पन्ने गायब हैं।

बहरहाल, उनकी स्मार्ट कॉन्ट्रैक्ट कोड समीक्षा में छह कोडिंग बग सामने आए, जिनमें से चार को मध्यम गंभीरता, एक कम गंभीरता और एक सूचनात्मक के रूप में वर्गीकृत किया गया था।

रिपोर्ट में कहा गया है कि छह में से पांच बग को ठीक कर दिया गया है, जिसमें "बर्नलिक्विडिटीशेयर () में गलत राशि गणना" की मध्यम गंभीरता की समस्या की "पुष्टि" की गई है।

नोट किए गए बग में शुल्क लेखांकन से संबंधित खामियों का उल्लेख नहीं किया गया है।

पॉप्सिकल फ़ाइनेंस ने शोषण किया, हैकर ने ~$25m ख़त्म कर दिए। हैक जटिल था लेकिन बग सरल था। TX हैश: https://t.co/CqyVvCq5I7

मूल रूप से, जब उपयोगकर्ता अपने शेयर स्थानांतरित करते हैं तो पॉप्सिकल इनाम ऋण हस्तांतरित नहीं करता है। यह कई कारनामों को उजागर करता है, जिनमें से एक का उपयोग यहां किया गया था 🧵👇 pic.twitter.com/shdYdyemD9

- मुदित गुप्ता (@Mudit__Gupta) अगस्त 4, 2021

पोस्टमॉर्टम में क्या हुआ? पीकशील्ड उचित शुल्क लेखांकन से संबंधित मुद्दों ने हैकर को उन पुरस्कारों को इकट्ठा करने में सक्षम बनाया जिनके वे हकदार नहीं थे। सात अन्य पूलों में इस प्रक्रिया को दोहराने से उनका लाभ कई गुना बढ़ गया।

“जब एलपी टोकन स्थानांतरित किए जाते हैं तो हैक उचित शुल्क लेखांकन की कमी के कारण होता था। विशेष रूप से, हमलावर तीन अनुबंध A, B, और C बनाता है और A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() के क्रम में दोहराता है। आठ पूल के लिए।”

अंतिम परिणाम कुल हानि के रूप में सामने आया 20.7 $ मिलियन से मिलकर 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI, और 96 WBTC।

सिफरट्रेस ने चेतावनी दी है कि डेफी धोखाधड़ी रिकॉर्ड स्तर पर है

ब्लॉकचेन एनालिटिक्स फर्म CipherTrace रिपोर्ट में कहा गया है कि जहां 2021 में क्रिप्टो अपराध में गिरावट आ रही है, वहीं डेफी धोखाधड़ी रिकॉर्ड स्तर पर है।

अप्रैल 2021 तक के चार महीनों में, क्रिप्टो अपराधियों ने $432 मिलियन की चोरी की, जिसमें से 56%, या $240 मिलियन, DeFi से संबंधित अपराध से आए।

सिफरट्रेस के सीईओ डेव जेवांस ने कहा कि जैसे-जैसे डेफी बड़ा होता जाएगा, बुरे कलाकार अपर्याप्त स्मार्ट अनुबंध सुरक्षा का फायदा उठाना जारी रखेंगे।

"...बुरे अभिनेता प्रचार का फायदा उठाकर लोगों को घोटालों में फंसाने की कोशिश करेंगे और हैकर्स उन परियोजनाओं की तलाश करेंगे जो पर्याप्त सुरक्षा ऑडिट किए बिना लॉन्च की गई हैं, स्मार्ट अनुबंधों में निहित खामियों का फायदा उठाते हुए।"

पीकशील्ड निष्कर्ष निकाला कि सोरबेटो फ्रैगोला के पास "स्पष्ट रूप से व्यवस्थित" कोडबेस था, और पहचाने गए मुद्दों को ठीक कर दिया गया था या पुष्टि कर दी गई थी। लेकिन यह उन निवेशकों के लिए थोड़ी सांत्वना है जिन्होंने पैसा खो दिया है।

जो तुम देखते हो वह पसंद है? अपडेट के लिए सब्सक्राइब करें

स्रोत: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/