'감사된' DeFi 프로젝트 Popsicle Finance가 21만 달러에 악용됨

멀티체인 수익률 플랫폼 아이스 파이낸스 ($ICE)는 오늘 상당한 악용을 당해 21만 달러의 손실을 입었습니다.

초기 보고서에서는 공격자가 수수료 회계 메커니즘의 결함을 이용하여 그 과정에서 여러 토큰을 유출했다고 주장했습니다.

게다가 문제의 프로토콜은, 소르베토 프라골라, 감사를 받았습니다. 페크 실드. 아마도 투자자들에게 스마트 계약의 견고성에 대한 잘못된 확신을 심어주는 것 같습니다.

"Sorbetto Fragola를 사용하면 사용자가 자금을 제공할 수 있으며, 이 자금은 Uniswap V3에서 유동성 제공(LP)에 사용되며, Popsicle 전략을 통해 자금이 LP 범위를 벗어나지 않도록 합니다."

이 최신 사건은 스마트 계약 감사의 목적과 그것이 어떤 장점이 있는지에 대한 의문을 더욱 불러일으킵니다.

Popsicle Finance에 무슨 일이 일어났나요?

페크 실드 28월 XNUMX일 GitHub에 Sorbetto Fragola에 대한 감사를 게시했습니다.  그런데 이상하게도 해당 감사 보고서에는 보고서 시작 부분부터 페이지가 누락된 것 같습니다.

그럼에도 불구하고 스마트 계약 코드 검토를 통해 6개의 코딩 버그가 발견되었으며 그 중 4개는 중간 심각도, 1개는 낮은 심각도, 1개는 정보용으로 분류되었습니다.

보고서에는 6개 버그 중 5개가 수정되었으며 "burnLiquidityShare()의 잘못된 금액 계산"이라는 중간 심각도 문제가 "확인됨"이라고 명시되어 있습니다.

언급된 버그에는 수수료 계산과 관련된 결함이 언급되지 않았습니다.

Popsicle Finance가 악용되어 해커가 약 25만 달러를 빼냈습니다. 해킹은 복잡했지만 버그는 간단했습니다. 송신 해시: https://t.co/CqyVvCq5I7

기본적으로 Popsicle은 사용자가 지분을 양도할 때 보상 부채를 양도하지 않습니다. 이는 여러 익스플로잇을 노출하며 그 중 하나가 여기에서 사용되었습니다 🧵👇 pic.twitter.com/shdYdyemD9

-Mudit Gupta (@Mudit__Gupta) 2021 년 8 월 4 일

무슨 일이 일어났는지에 대한 사후 부검에서, 페크 실드 적절한 수수료 계산과 관련된 문제로 인해 해커는 자격이 없는 보상을 수집할 수 있었습니다. 다른 7개 풀에서 프로세스를 반복하면 이익이 배가됩니다.

“해킹은 LP 토큰을 전송할 때 적절한 수수료 계산이 부족했기 때문에 발생했습니다. 구체적으로 공격자는 A, B, C 세 개의 계약을 생성하고 A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees()의 순서로 반복합니다. 8개의 수영장을 위해.”

결론은 전량 손실이 났습니다 $ 20.7 만 구성 2.6K WETH, 5.4만 USDC, 5만 USDT, 160K DAI, 10K UNI 및 96 WBTC.

CipherTrace는 DeFi 사기가 기록적인 수준에 이르렀다고 경고합니다.

블록 체인 분석 회사 사이퍼 추적 2021년에는 암호화폐 범죄가 감소하는 반면 DeFi 사기는 기록적인 수준에 도달했다고 보고합니다.

2021년 432월까지 56개월 동안 암호화폐 범죄자들은 ​​240억 XNUMX만 달러를 훔쳤고, 그 중 XNUMX%인 XNUMX억 XNUMX만 달러가 DeFi 관련 범죄에서 나왔습니다.

CipherTrace의 CEO인 Dave Jevans는 DeFi가 커짐에 따라 악의적인 행위자들이 계속해서 부적절한 스마트 계약 보안을 악용할 것이라고 말했습니다.

"...나쁜 행위자는 사람들을 사기로 끌어들이기 위해 과대 광고를 이용하려고 할 것이며 해커는 적절한 보안 감사를 수행하지 않고 시작된 프로젝트를 찾아 스마트 계약에 인코딩된 허점을 악용할 것입니다."

페크 실드 Sorbetto Fragola는 "명확하게 구성된" 코드베이스를 갖고 있으며 식별된 문제는 수정되거나 확인되었다고 결론지었습니다. 하지만 이는 돈을 잃은 투자자들에게는 별 위로가 되지 않습니다.

당신이 보는 무엇을 좋아하세요? 업데이트를 구독하십시오.

출처: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/