פרויקט DeFi 'מבוקר' מנוצל עבור 21 מיליון דולר

פלטפורמת תשואה מרובה שרשרת קרנבל ארטיק (ICE$) ספג ניצול משמעותי היום, שהביא להפסד של 21 מיליון דולר.

דיווחים ראשוניים טוענים כי התוקפים ניצלו פגם במנגנון חשבונאות העמלות, תוך ניקוז של כמה אסימונים בתהליך.

מה שכן, הפרוטוקול המדובר, סורבטו פרגולה, נבדק על ידי שדה פיקסל. ניתן לטעון מתן למשקיעים תחושה כוזבת של אמון בחוסנו של החוזה החכם.

"סורבטו פרגולה מאפשרת למשתמשים לספק כספים, המשמשים לאחר מכן למתן נזילות (LP) ב-Uniswap V3, כאשר אסטרטגיית Popsicle מוודאת שהכספים לעולם אינם מחוץ לטווח ה-LP."

התקרית האחרונה מעמידה בסימן שאלה את מטרתן של ביקורות חוזים חכמות והאם יש להן בכלל כשרון.

מה קרה עם פיננסים של ארטיק?

שדה פיקסל פרסמה את הביקורת שלה על Sorbetto Fragola ב-GitHub ב-28 ביוני. אבל באופן מוזר, נראה שדוח הביקורת הזה חסר דפים מתחילת הדו"ח.

עם זאת, סקירת קוד החוזה החכמה שלהם העלתה שישה באגי קידוד, ארבעה מהם סווגו כחומרה בינונית, אחד בחומרה נמוכה ואחד מידע.

הדוח קובע שחמישה מתוך ששת הבאגים תוקנו, כאשר בעיית החומרה הבינונית של "חישוב כמות שגוי ב-burnLiquidityShare()" היא "אושרה".

הבאגים שצוינו לא הזכירו פגמים הקשורים לחשבונאות עמלות.

פיננסים של ארטיק נוצלו, האקר גזל 25 מיליון דולר. הפריצה הייתה מורכבת אבל הבאג היה פשוט. TX Hash: https://t.co/CqyVvCq5I7

בעיקרון, ארטיק לא מעביר את חוב התגמול כאשר משתמשים מעבירים את המניות שלהם. זה חושף מספר מעללים, אחד מהם שימש כאן 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) אוגוסט

בנתיחה שלאחר המוות של מה שקרה, שדה פיקסל לדבריו, בעיות הקשורות לחשבונאות נאותה של עמלות אפשרו להאקר לאסוף תגמולים שאינם זכאים להם. חזרה על התהליך על פני שבעה מאגרים אחרים הכפילה את הרווחים שלהם.

"הפריצה נבעה מהיעדר חשבונאות נאותה של עמלות בעת העברת אסימוני LP. באופן ספציפי, התוקף יוצר שלושה חוזים A, B ו-C וחוזר ברצפים של A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() לשמונה בריכות".

התוצאה הסופית הייתה הפסד מוחלט של $ 20.7 מיליון בהיקף של 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI,10K UNI, ו-96 WBTC.

CipherTrace מזהיר שהונאת DeFi נמצאת ברמות שיא

חברת אנליטיקס Blockchain CipherTrace מדווח כי בעוד שפשעי הקריפטו יורד ב-2021, ההונאה של DeFi נמצאת ברמות שיא.

במשך ארבעת החודשים עד אפריל 2021, פושעי קריפטו גנבו 432 מיליון דולר, כאשר 56% מזה, או 240 מיליון דולר, הגיעו מפשע הקשור ל-DeFi.

מנכ"ל CipherTrace, דייב ג'וואנס, אמר שככל ש-DeFi גדלה, שחקנים רעים ימשיכו לנצל אבטחת חוזים חכמה לא מספקת.

"...שחקנים רעים יבקשו לנצל את ההייפ כדי למשוך אנשים להונאות והאקרים יחפשו פרויקטים שהושקו מבלי לבצע ביקורות אבטחה מתאימות, תוך ניצול פרצות מקודדות בחוזים החכמים."

שדה פיקסל הגיע למסקנה שלסורבטו פרגולה יש בסיס קוד "מאורגן בבירור", ושבעיות שזוהו תוקנו או אושרו. אבל זו נחמה קטנה למשקיעים שהפסידו כסף.

כמו מה שאתה רואה? הירשם לקבלת עדכונים.

מקור: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/