'Revidert' DeFi -prosjekt Popsicle Finance blir utnyttet for 21 millioner dollar

Multichain yield-plattform Popsicle Finans ($ICE) led en betydelig utnyttelse i dag, noe som resulterte i et tap på $21 millioner.

De første rapportene hevder at angripere utnyttet en feil i avgiftsregnskapsmekanismen, og tappet flere tokens i prosessen.

Dessuten, den aktuelle protokollen, Sorbetto Fragola, ble revidert av Peckshield. Gir uten tvil investorer en falsk følelse av tillit til robustheten til den smarte kontrakten.

"Sorbetto Fragola gjør det mulig for brukere å gi midler, som deretter brukes til likviditetstilførsel (LP) på Uniswap V3, med Popsicle-strategien som sørger for at midlene aldri er utenfor LP-området."

Denne siste hendelsen setter ytterligere spørsmålstegn ved formålet med smarte kontraktrevisjoner og om de har noen fordel i det hele tatt.

Hva skjedde med Popsicle Finance?

Peckshield publiserte sin revisjon av Sorbetto Fragola på GitHub 28. juni. Men merkelig nok ser det ut til at den revisjonsrapporten mangler sider fra starten av rapporten.

Ikke desto mindre viste deres smarte kontraktkodegjennomgang seks kodefeil, hvorav fire ble klassifisert som middels alvorlig, en lav alvorlighetsgrad og en informativ.

Rapporten opplyser at fem av de seks feilene ble fikset, med middels alvorlighetsgrad av "Feil beløpsberegning i burnLiquidityShare()" som "Bekreftet."

De bemerkede feilene nevnte ikke feil knyttet til gebyrregnskap.

Popsicle Finance utnyttet, hacker tappet ~25 millioner dollar. Hacket var komplekst, men feilen var enkel. TX Hash: https://t.co/CqyVvCq5I7

I utgangspunktet overfører ikke Popsicle belønningsgjelden når brukere overfører aksjene sine. Dette avslører flere bedrifter, hvorav en ble brukt her 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) August 4, 2021

I post mortem av hva som skjedde, Peckshield sa problemer knyttet til riktig gebyrregnskap gjorde det mulig for hackeren å samle inn belønninger de ikke hadde rett til. Å gjenta prosessen på tvers av syv andre bassenger multipliserte gevinstene deres.

"Hacket skyldtes mangelen på riktig gebyrregnskap når LP-tokens overføres. Spesifikt oppretter angriperen tre kontrakter A, B og C og gjentar i sekvensene A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() for åtte bassenger.»

Sluttresultatet ble et totalt tap på $ 20.7 millioner bestående av 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI,10K UNI og 96 WBTC.

CipherTrace advarer om at DeFi-svindel er på rekordnivåer

Blockchain analytics firma CipherTrace rapporterer at mens kryptokriminalitet avtar i 2021, er DeFi-svindel på rekordnivåer.

I de fire månedene frem til april 2021 stjal kryptokriminelle 432 millioner dollar, med 56 % av det, eller 240 millioner dollar, fra DeFi-relatert kriminalitet.

Administrerende direktør i CipherTrace, Dave Jevans, sa at etter hvert som DeFi blir større, vil dårlige aktører fortsette å utnytte utilstrekkelig smart kontraktsikkerhet.

"...dårlige aktører vil forsøke å dra nytte av hypen for å trekke folk inn i svindel og hackere vil oppsøke prosjekter som har startet uten å utføre tilstrekkelige sikkerhetsrevisjoner, og utnytte smutthull som er kodet i smarte kontrakter."

Peckshield konkluderte med at Sorbetto Fragola hadde en "tydelig organisert" kodebase, og at identifiserte problemer ble fikset eller bekreftet. Men dette er liten trøst for investorer som tapte penger.

Liker du hva du ser? Abonner for oppdateringer.

Kilde: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/