„Skontrolowany” projekt DeFi Popsicle Finance zostaje wykorzystany na kwotę 21 milionów dolarów

Wielołańcuchowa platforma wydajności Finanse Popsicle ($ICE) doznała dzisiaj poważnego exploita, w wyniku którego straciła 21 milionów dolarów.

Ze wstępnych raportów wynika, że ​​napastnicy wykorzystali lukę w mechanizmie naliczania opłat, zużywając przy tym kilka tokenów.

Co więcej, przedmiotowy protokół, Sorbet Fragola, została skontrolowana przez Dziobak. Prawdopodobnie dawanie inwestorom fałszywego poczucia pewności co do solidności inteligentnego kontraktu.

„Sorbetto Fragola umożliwia użytkownikom dostarczanie środków, które są następnie wykorzystywane do zapewnienia płynności (LP) na Uniswap V3, przy czym strategia Popsicle zapewnia, że ​​środki nigdy nie znajdą się poza zakresem LP”.

Ten ostatni incydent jeszcze bardziej podaje w wątpliwość cel audytów inteligentnych kontraktów i to, czy w ogóle mają one sens.

Co się stało z Popsicle Finance?

Dziobak opublikował swój audyt Sorbetto Fragola w GitHub 28 czerwca. Jednak, co dziwne, w tym raporcie z audytu wydaje się brakować stron od początku raportu.

Niemniej jednak ich przegląd kodu inteligentnego kontraktu ujawnił sześć błędów w kodowaniu, z których cztery zostały sklasyfikowane jako średnio istotne, jeden o niskim poziomie ważności i jeden informacyjny.

W raporcie stwierdzono, że pięć z sześciu błędów zostało naprawionych, a problem o średniej wadze „Nieprawidłowe obliczenie kwoty w burnLiquidityShare()” miał wartość „Potwierdzono”.

Odnotowane błędy nie wspominały o błędach związanych z naliczaniem opłat.

Wykorzystano Popsicle Finance, haker ukradł ~ 25 milionów dolarów. Hack był złożony, ale błąd był prosty. Hash TX: https://t.co/CqyVvCq5I7

Zasadniczo Popsicle nie przenosi długu z tytułu nagrody, gdy użytkownicy przekazują swoje udziały. To ujawnia wiele exploitów, z których jeden został tutaj wykorzystany 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) 4 sierpnia 2021 r.

W sekcji zwłok tego, co się stało, Dziobak stwierdził, że problemy związane z prawidłowym naliczaniem opłat umożliwiły hakerowi odebranie nagród, do których nie był uprawniony. Powtórzenie tego procesu w siedmiu innych pulach zwielokrotniło ich zyski.

„Włamanie było spowodowane brakiem odpowiedniego naliczania opłat przy przesyłaniu tokenów LP. W szczególności atakujący tworzy trzy kontrakty A, B i C i powtarza je w sekwencji A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() na osiem basenów.”

Efektem końcowym była całkowita strata $ 20.7 mln składający 2.6 tys. WETH, 5.4 mln USDC, 5 mln USDT, 160 tys. DAI, 10 tys. UNI i 96 WBTC.

CipherTrace ostrzega, że ​​oszustwa DeFi osiągnęły rekordowy poziom

Firma analityczna Blockchain CipherTrace raportuje, że chociaż przestępczość kryptowalutowa spada w 2021 r., oszustwa DeFi osiągnęły rekordowy poziom.

W ciągu czterech miesięcy do kwietnia 2021 r. przestępcy kryptowalutowi ukradli 432 miliony dolarów, z czego 56%, czyli 240 milionów dolarów, pochodziło z przestępstw związanych z DeFi.

Dyrektor generalny CipherTrace, Dave Jevans, powiedział, że w miarę jak DeFi będzie się rozrastać, źli aktorzy będą nadal wykorzystywać nieodpowiednie zabezpieczenia inteligentnych kontraktów.

„…źli aktorzy będą chcieli wykorzystać ten szum, aby wciągnąć ludzi w oszustwa, a hakerzy będą szukać projektów, które rozpoczęły się bez przeprowadzenia odpowiednich audytów bezpieczeństwa, wykorzystując luki zakodowane w inteligentnych kontraktach”.

Dziobak stwierdził, że Sorbetto Fragola ma „jasno zorganizowaną” bazę kodu i że zidentyfikowane problemy zostały naprawione lub potwierdzone. Ale to niewielkie pocieszenie dla inwestorów, którzy stracili pieniądze.

Podobnie jak to, co widzisz? Zapisz się, aby otrzymywać aktualizacje.

Źródło: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/