Il progetto DeFi "Audited" Popsicle Finance viene sfruttato per $ 21 milioni

Piattaforma di rendimento multicatena Finanza di ghiaccioli ($ICE) ha subito un exploit significativo oggi, con una perdita di 21 milioni di dollari.

I primi rapporti affermano che gli aggressori hanno approfittato di un difetto nel meccanismo di contabilizzazione delle commissioni, prosciugando diversi token nel processo.

Inoltre, il protocollo in questione, Sorbetto Fragola, è stato verificato da Scudo. Probabilmente dando agli investitori un falso senso di fiducia nella robustezza del contratto intelligente.

“Sorbetto Fragola consente agli utenti di fornire fondi, che vengono poi utilizzati per fornire liquidità (LP) su Uniswap V3, con la strategia Popsicle che assicura che i fondi non siano mai al di fuori della gamma LP.”

Quest'ultimo incidente mette ulteriormente in discussione lo scopo degli audit sui contratti intelligenti e se hanno qualche merito.

Cosa è successo con Popsicle Finance?

Scudo ha pubblicato la sua verifica di Sorbetto Fragola su GitHub il 28 giugno. Ma stranamente, quel rapporto di verifica sembra mancare di pagine dall'inizio del rapporto.

Tuttavia, la loro revisione del codice del contratto intelligente ha rivelato sei bug di codifica, quattro dei quali sono stati classificati come di media gravità, uno di bassa gravità e uno informativo.

Il rapporto afferma che cinque dei sei bug sono stati corretti, con il problema di media gravità di "Calcolo dell'importo errato in burnLiquidityShare()" "Confermato".

I bug segnalati non menzionavano difetti relativi alla contabilità delle commissioni.

Sfruttato Popsicle Finance, hacker ha drenato ~ $ 25 milioni. L'hack era complesso, ma il bug era semplice. Hash TX: https://t.co/CqyVvCq5I7

Fondamentalmente, Popsicle non trasferisce il debito della ricompensa quando gli utenti trasferiscono le loro azioni. Questo espone molteplici exploit, uno dei quali è stato usato qui 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) 4 Agosto 2021

Nell'autopsia di quanto accaduto, Scudo tali problemi relativi alla corretta contabilizzazione delle commissioni hanno consentito all'hacker di raccogliere ricompense a cui non aveva diritto. La ripetizione del processo su altri sette pool ha moltiplicato i loro guadagni.

"L'hack era dovuto alla mancanza di un'adeguata contabilità delle commissioni quando i token LP vengono trasferiti. Nello specifico, l'attaccante crea tre contratti A, B e C e si ripete nelle sequenze di A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() per otto piscine.”

Il risultato finale è stata una perdita totale di $20.7 milioni consiste in 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI e 96 WBTC.

CipherTrace avverte che le frodi DeFi sono a livelli record

Azienda di analisi blockchain CipherTrace riferisce che mentre il crimine crittografico sta diminuendo nel 2021, la frode DeFi è a livelli record.

Per i quattro mesi fino ad aprile 2021, i criminali crittografici hanno rubato $ 432 milioni, di cui il 56%, o $ 240 milioni, provenienti da crimini legati alla DeFi.

Il CEO di CipherTrace, Dave Jevans, ha affermato che man mano che la DeFi diventa più grande, i cattivi attori continueranno a sfruttare la sicurezza dei contratti intelligenti inadeguata.

"... i cattivi attori cercheranno di sfruttare il clamore per attirare le persone in truffe e gli hacker cercheranno progetti che sono stati avviati senza eseguire controlli di sicurezza adeguati, sfruttando le scappatoie codificate negli smart contract."

Scudo ha concluso che Sorbetto Fragola aveva una base di codici "chiaramente organizzata" e che i problemi identificati erano stati risolti o confermati. Ma questa è una magra consolazione per gli investitori che hanno perso denaro.

Piace quello che vedi? Iscriviti per gli aggiornamenti.

Fonte: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/