A Popsicle Finance „auditált” DeFi projektjét 21 millió dollárért hasznosítják

Többláncú hozamplatform Popsicle Finance ($ICE) ma jelentős kizsákmányolást szenvedett el, ami 21 millió dolláros veszteséget eredményezett.

Az első jelentések azt állítják, hogy a támadók kihasználták a díjelszámolási mechanizmus hibáját, és a folyamat során több tokent elszívták.

Mi több, a kérdéses protokoll, Sorbetto Fragola, auditálta Peckshield. Vitathatatlanul hamis bizalmat kelt a befektetőkben az intelligens szerződés robusztusságában.

„A Sorbetto Fragola lehetővé teszi a felhasználók számára, hogy pénzeszközöket biztosítsanak, amelyeket aztán likviditás biztosítására (LP) használnak fel az Uniswap V3-on, miközben a Popsicle stratégia gondoskodik arról, hogy az alapok soha ne kerüljenek az LP tartományon kívülre.”

Ez a legutóbbi incidens még inkább megkérdőjelezi az intelligens szerződések ellenőrzésének célját, és azt, hogy van-e egyáltalán érdeme.

Mi történt a Popsicle Finance-szel?

Peckshield június 28-án tette közzé a Sorbetto Fragola auditját a GitHubon. Furcsa módon azonban úgy tűnik, hogy az auditjelentésből hiányoznak oldalak a jelentés elejéről.

Mindazonáltal az intelligens szerződési kód áttekintése hat kódolási hibát tárt fel, amelyek közül négy közepes súlyosságú, egy alacsony súlyosságú, egy pedig tájékoztató jellegű.

A jelentés szerint a hat hibából ötöt sikerült kijavítani, és a közepes súlyosságú probléma, a „Incorrect Amount Calculation In burnLiquidityShare()” „Megerősítve”.

A feljegyzett hibák nem említették a díjelszámolással kapcsolatos hibákat.

A Popsicle Finance-t kizsákmányolták, a hacker elszívott ~25 millió dollárt. A feltörés összetett volt, de a hiba egyszerű. TX hash: https://t.co/CqyVvCq5I7

Alapvetően a Popsicle nem utalja át a jutalomtartozást, amikor a felhasználók átadják a részvényeiket. Ez több exploitot fed fel, amelyek közül az egyiket itt használták 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) 4. augusztus 2021.

A történtek utóéletében, Peckshield a díjak megfelelő elszámolásával kapcsolatos problémák lehetővé tették a hacker számára, hogy olyan jutalmakat szedjen be, amelyekre nem volt jogosult. A folyamat megismétlése hét másik készletben megsokszorozta a nyereségüket.

„A feltörés az LP tokenek átadásakor történt megfelelő díjelszámolás hiánya miatt történt. Pontosabban, a támadó három A, B és C szerződést hoz létre, és megismétli az A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() szekvenciákat. nyolc medencére.”

A végeredmény teljes veszteség lett 20.7 millió $ álló 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI és 96 WBTC.

A CipherTrace arra figyelmeztet, hogy a DeFi-csalás rekordszinten van

Blockchain elemző cég CipherTrace beszámol arról, hogy miközben a kriptográfiai bűnözés 2021-ben csökken, a DeFi-csalás rekordszinten van.

A 2021 áprilisáig tartó négy hónapban a kripto-bűnözők 432 millió dollárt loptak el, ennek 56%-a, azaz 240 millió dollár származott a DeFi-vel kapcsolatos bűnözésből.

A CipherTrace vezérigazgatója, Dave Jevans azt mondta, ahogy a DeFi egyre nagyobb lesz, a rossz szereplők továbbra is kihasználják az intelligens szerződések nem megfelelő biztonságát.

„…a rossz szereplők arra törekednek majd, hogy kihasználják a hírverést, hogy csalásokba vonják be az embereket, a hackerek pedig olyan projekteket keresnek, amelyek megfelelő biztonsági auditok elvégzése nélkül indultak, kihasználva az intelligens szerződésekbe kódolt kiskapukat.”

Peckshield arra a következtetésre jutott, hogy a Sorbetto Fragola „egyértelműen szervezett” kódbázissal rendelkezik, és az azonosított problémákat kijavították vagy megerősítették. De ez kevés vigasz azoknak a befektetőknek, akik pénzt veszítettek.

Tetszik, amit látsz? Feliratkozás a frissítésekre.

Forrás: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/