マルチチェーン収益プラットフォーム アイスキャンデーファイナンス ($ICE) は本日、重大な悪用を受け、21 万ドルの損失をもたらしました。
最初の報告では、攻撃者が料金計算メカニズムの欠陥を利用し、その過程でいくつかのトークンを使い果たしたと主張しています。
さらに、問題のプロトコルは、 シャーベットフラゴラによって監査されました。 ペックシールド。おそらく投資家にスマートコントラクトの堅牢性に対する誤った信頼感を与えていると考えられます。
「Sorbetto Fragola では、ユーザーが資金を提供することができ、その資金は Uniswap V3 での流動性提供 (LP) に使用されます。Popsicle 戦略により、資金が決して LP の範囲を超えないようになっています。」
この最新の事件は、スマートコントラクト監査の目的と、そもそも監査にメリットがあるのかどうかについてさらに疑問を投げかけています。
Popsicle Finance で何が起こったのでしょうか?
ペックシールド は 28 月 XNUMX 日にソルベット フラゴラの監査を GitHub で公開しました。しかし奇妙なことに、その監査報告書は報告書の冒頭からページが抜け落ちているようです。
それにもかかわらず、彼らのスマート コントラクト コード レビューでは 6 つのコーディング バグが見つかり、そのうち 4 つは重大度が中、1 つは低重大度、1 つは情報として分類されました。
レポートでは、6 件のバグのうち 5 件が修正され、深刻度が中程度の問題である「burnLiquidityShare() における金額計算の誤り」は「確認済み」であると述べています。
指摘されたバグには、料金計算に関連する欠陥については言及されていませんでした。
Popsicle Finance が悪用され、ハッカーは最大 25 万ドルを流出しました。ハッキングは複雑でしたが、バグは単純でした。 TX ハッシュ: https://t.co/CqyVvCq5I7
基本的に、Popsicle は、ユーザーが株式を譲渡するときに報酬債務を譲渡しません。これにより複数のエクスプロイトが公開され、そのうちの 1 つがここで使用されました 🧵👇 pic.twitter.com/shdYdyemD9
— Mudit Gupta(@Mudit__Gupta) 2021 年 8 月 4 日
何が起こったのかを事後解剖してみると、 ペックシールド 適切な料金計算に関連する問題により、ハッカーは受け取る資格のない報酬を受け取ることができたと述べています。他の 7 つのプールでこのプロセスを繰り返すと、利益が倍増しました。
「ハッキングは、LPトークンが転送される際の適切な手数料計算の欠如が原因でした。具体的には、攻撃者は 3 つのコントラクト A、B、C を作成し、A.deposit()、A.transfer(B)、B.collectFees()、B.transfer(C)、C.collectFees() のシーケンスを繰り返します。 8つのプール用です。」
結果的には全敗でした 20.7万ドル からなる 2.6K WETH、5.4万 USDC、5M USDT、160K DAI、10K UNI、96 WBTC。
CipherTrace、DeFi詐欺が記録的なレベルにあると警告
ブロックチェーン分析会社 CipherTrace は、2021年に仮想通貨犯罪は減少しているものの、DeFi詐欺は記録的なレベルにあると報告しています。
2021年432月までの56か月間で、仮想通貨犯罪者は240億XNUMX万ドルを盗み、そのうちのXNUMX%にあたるXNUMX億XNUMX万ドルがDeFi関連の犯罪によるものでした。
CipherTrace の CEO、Dave Jevans 氏は、DeFi が拡大するにつれて、不適切なスマート コントラクトのセキュリティを悪者が悪用し続けるだろうと述べました。
「…悪意のある者は誇大広告を利用して人々を詐欺に引き込もうとし、ハッカーは適切なセキュリティ監査を実施せずに開始されたプロジェクトを探し出し、スマートコントラクトにエンコードされた抜け穴を悪用します。」
ペックシールド Sorbetto Fragola には「明確に組織された」コードベースがあり、特定された問題は修正または確認されたと結論付けました。しかし、これは損失を被った投資家にとっては何の慰めにもならない。
ゲット エッジ 暗号資産市場で
の有料メンバーとして、すべての記事でより多くの暗号の洞察とコンテキストにアクセスします クリプトスレートエッジ.
オンチェーン分析
価格のスナップショット
その他のコンテキスト
あなたが見るもののように? 更新を購読します。
出典: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/
- 7
- 9
- 会計
- 利点
- すべて
- 分析論
- 4月
- 記事
- 監査
- バグ
- バグ
- 最高経営責任者(CEO)
- CipherTrace
- コード
- コーディング
- 到来
- 信頼
- 続ける
- 縮小することはできません。
- 契約
- 犯罪
- 犯罪者
- クリプト
- DAI
- 借金
- DeFi
- DID
- 悪用する
- ファイナンス
- 会社
- 欠陥
- 欠陥
- 投資家の皆様へ
- 詐欺
- 資金
- GitHubの
- 与え
- ハック
- ハッカー
- ハッカー
- ハッシュ
- こちら
- HTTPS
- 洞察
- 主要株主
- 問題
- join
- 最新の
- 流動性
- LP
- 作成
- ミディアム
- 百万
- お金
- ヶ月
- その他
- のワークプ
- プラットフォーム
- プール
- ブランド
- プロジェクト
- プロジェクト(実績作品)
- 範囲
- レポート
- レポート
- ロイター通信社
- レビュー
- 報酬
- 詐欺
- セキュリティ
- センス
- 株式
- 簡単な拡張で
- SIX
- スマート
- スマート契約
- スマート契約
- start
- 米国
- ストール
- 戦略
- トークン
- さえずり
- Uniswap
- 更新版
- USDC
- USDT
- users
- wBTC
- 誰
- 産出
