Proyek DeFi 'Diaudit' Popsicle Finance dieksploitasi sebesar $21 juta

Platform hasil multichain Pembiayaan es loli ($ICE) mengalami eksploitasi yang signifikan hari ini, mengakibatkan kerugian $21 juta.

Laporan awal mengklaim penyerang mengambil keuntungan dari kelemahan dalam mekanisme akuntansi biaya, menguras beberapa token dalam prosesnya.

Terlebih lagi, protokol yang dimaksud, Sorbetto Fragola, diaudit oleh Peckshield. Bisa dibilang memberi investor rasa percaya diri yang salah dalam kekokohan kontrak pintar.

“Sorbetto Fragola memungkinkan pengguna untuk menyediakan dana, yang kemudian digunakan untuk menyediakan likuiditas (LP) di Uniswap V3, dengan strategi Popsicle memastikan bahwa dana tidak pernah berada di luar jangkauan LP.”

Insiden terbaru ini semakin mempertanyakan tujuan audit kontrak pintar dan apakah mereka memiliki manfaat sama sekali.

Apa yang terjadi dengan Popsicle Finance?

Peckshield menerbitkan auditnya atas Sorbetto Fragola di GitHub pada 28 Juni. Namun anehnya, laporan audit itu tampaknya kehilangan halaman sejak awal laporan.

Meskipun demikian, tinjauan kode kontrak pintar mereka menemukan enam bug pengkodean, empat di antaranya digolongkan sebagai tingkat keparahan sedang, satu tingkat keparahan rendah, dan satu informasi.

Laporan tersebut menyatakan lima dari enam bug telah diperbaiki, dengan masalah tingkat sedang "Penghitungan Jumlah Salah Dalam burnLiquidityShare()" menjadi "Dikonfirmasi."

Bug yang dicatat tidak menyebutkan kekurangan yang berkaitan dengan akuntansi biaya.

Popsicle Finance dieksploitasi, peretas terkuras ~$25 juta. Peretasannya rumit tetapi bugnya sederhana. TX Hash: https://t.co/CqyVvCq5I7

Pada dasarnya, Popsicle tidak mentransfer hutang hadiah ketika pengguna mentransfer saham mereka. Ini memperlihatkan banyak eksploitasi, salah satunya digunakan di sini pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) 4 Agustus 2021

Dalam post mortem dari apa yang terjadi, Peckshield mengatakan masalah yang berkaitan dengan akuntansi biaya yang tepat memungkinkan peretas untuk mengumpulkan hadiah yang tidak berhak mereka dapatkan. Mengulangi proses di tujuh kelompok lainnya melipatgandakan keuntungan mereka.

“Peretasan itu karena kurangnya akuntansi biaya yang tepat ketika token LP ditransfer. Secara khusus, penyerang membuat tiga kontrak A, B, dan C dan mengulangi dalam urutan A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() untuk delapan kolam.”

Hasil akhirnya adalah kerugian total $ 20.7 juta yang terdiri dari 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI,10K UNI, dan 96 WBTC.

CipherTrace memperingatkan bahwa penipuan DeFi berada pada level rekor

Perusahaan analitik Blockchain CipherTrace melaporkan bahwa sementara kejahatan kripto menurun pada tahun 2021, penipuan DeFi berada pada tingkat rekor.

Selama empat bulan hingga April 2021, penjahat crypto mencuri $ 432 juta, dengan 56% dari itu, atau $ 240 juta, berasal dari kejahatan terkait DeFi.

CEO CipherTrace, Dave Jevans mengatakan ketika DeFi semakin besar, aktor jahat akan terus mengeksploitasi keamanan kontrak pintar yang tidak memadai.

“… aktor jahat akan berusaha memanfaatkan hype untuk menarik orang ke dalam penipuan dan peretas akan mencari proyek yang telah diluncurkan tanpa melakukan audit keamanan yang memadai, mengeksploitasi celah yang dikodekan dalam kontrak pintar.”

Peckshield menyimpulkan bahwa Sorbetto Fragola memiliki basis kode yang "terorganisir dengan jelas", dan bahwa masalah yang teridentifikasi telah diperbaiki atau dikonfirmasi. Tapi ini sedikit penghiburan bagi investor yang merugi.

Seperti yang kau lihat? Berlangganan untuk pembaruan.

Sumber: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/