'Gecontroleerd' DeFi-project Popsicle Finance wordt uitgebuit voor $ 21 miljoen

Opbrengstplatform met meerdere ketens Ijslolly Financiën ($ICE) leed vandaag een aanzienlijke exploit, resulterend in een verlies van $ 21 miljoen.

Volgens de eerste rapporten hebben aanvallers misbruik gemaakt van een fout in het mechanisme voor het boeken van vergoedingen, waardoor verschillende tokens werden leeggemaakt.

Bovendien, het protocol in kwestie, Sorbetto Fragola, werd gecontroleerd door Peckschild. Ongetwijfeld geven beleggers een vals gevoel van vertrouwen in de robuustheid van het slimme contract.

"Sorbetto Fragola stelt gebruikers in staat om fondsen te verstrekken, die vervolgens worden gebruikt voor liquiditeitsvoorziening (LP) op Uniswap V3, waarbij de Popsicle-strategie ervoor zorgt dat de fondsen nooit buiten het LP-bereik komen."

Dit laatste incident roept verder vraagtekens op bij het doel van slimme contractaudits en of ze überhaupt enige verdienste hebben.

Wat is er gebeurd met Popsicle Finance?

Peckschild publiceerde zijn audit van Sorbetto Fragola op GitHub op 28 juni. Maar vreemd genoeg lijkt dat auditrapport pagina's te missen vanaf het begin van het rapport.

Desalniettemin leverde hun beoordeling van de slimme contractcode zes codeerfouten op, waarvan er vier werden geclassificeerd als gemiddelde ernst, één lage ernst en één informatieve.

In het rapport staat dat vijf van de zes bugs zijn opgelost, waarbij het gemiddelde probleem van "Onjuiste berekening van het bedrag in burnLiquidityShare()" "Bevestigd" is.

De opgemerkte bugs maakten geen melding van gebreken die te maken hadden met de boekhouding van vergoedingen.

Popsicle Finance uitgebuit, hacker heeft ~ $ 25 miljoen leeggepompt. De hack was complex, maar de bug was eenvoudig. TX-hash: https://t.co/CqyVvCq5I7

Kortom, Popsicle draagt ​​de beloningsschuld niet over wanneer gebruikers hun aandelen overdragen. Dit legt meerdere exploits bloot, waarvan er hier één werd gebruikt 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) 4 Augustus 2021

In de post mortem van wat er is gebeurd, Peckschild genoemde problemen met betrekking tot de juiste kostenberekening stelden de hacker in staat om beloningen te innen waar ze geen recht op hadden. Door het proces in zeven andere pools te herhalen, werd hun winst vermenigvuldigd.

“De hack was te wijten aan het ontbreken van een goede boekhouding van de vergoedingen wanneer LP-tokens worden overgedragen. De aanvaller maakt met name drie contracten A, B en C en herhaalt zich in de reeksen A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() voor acht zwembaden.”

Het eindresultaat was een totaal verlies van $ 20.7 miljoen bestaande uit 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI en 96 WBTC.

CipherTrace waarschuwt dat DeFi-fraude zich op recordniveaus bevindt

Blockchain-analysebedrijf CipherTrace meldt dat terwijl cryptocriminaliteit in 2021 afneemt, DeFi-fraude op recordniveaus is.

Gedurende de vier maanden tot april 2021 hebben cryptocriminelen $ 432 miljoen gestolen, waarvan 56%, of $ 240 miljoen, afkomstig van DeFi-gerelateerde misdaad.

De CEO van CipherTrace, Dave Jevans, zei dat naarmate DeFi groter wordt, slechte actoren zullen blijven misbruik maken van ontoereikende slimme contractbeveiliging.

"... slechte actoren zullen proberen te profiteren van de hype om mensen tot oplichting te lokken en hackers zullen op zoek gaan naar projecten die zijn gestart zonder adequate beveiligingsaudits uit te voeren, gebruikmakend van mazen die zijn gecodeerd in de slimme contracten."

Peckschild concludeerde dat Sorbetto Fragola een "duidelijk georganiseerde" codebase had en dat geïdentificeerde problemen waren opgelost of bevestigd. Maar dat is weinig troost voor beleggers die geld hebben verloren.

Vind je het leuk wat je ziet? Schrijf je in voor updates.

Bron: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/