Financiamento de picolé do projeto DeFi ‘auditado’ é explorado por US$ 21 milhões

Republicado por Platão

seguidores: 0

Plataforma de rendimento multichain Finanças de picolé ($ICE) sofreu uma exploração significativa hoje, resultando em uma perda de US$ 21 milhões.

Relatórios iniciais afirmam que os invasores aproveitaram uma falha no mecanismo de contabilidade de taxas, drenando vários tokens no processo.

Hack de finanças de picolé — etherscan.io

Além do mais, o protocolo em questão, Sorbeto Fragola, foi auditado por PeckShield. Provavelmente dando aos investidores uma falsa sensação de confiança na robustez do contrato inteligente.

“O Sorbetto Fragola permite que os usuários forneçam fundos, que são então usados para fornecer liquidez (LP) no Uniswap V3, com a estratégia Popsicle garantindo que os fundos nunca fiquem fora da faixa LP.”

Este último incidente questiona ainda mais o propósito das auditorias de contratos inteligentes e se elas têm algum mérito.

O que aconteceu com o Popsicle Finance?

PeckShield publicou sua auditoria de Sorbetto Fragola no GitHub em 28 de junho. Mas, estranhamente, parece que faltam páginas no início do relatório nesse relatório de auditoria.

No entanto, a revisão inteligente do código do contrato revelou seis bugs de codificação, quatro dos quais foram classificados como de gravidade média, um de gravidade baixa e um informativo.

O relatório afirma que cinco dos seis bugs foram corrigidos, com o problema de gravidade média de “Cálculo de valor incorreto em burnLiquidityShare ()” sendo “Confirmado”.

Os bugs observados não mencionaram falhas relacionadas à contabilidade de taxas.

Popsicle Finance explorado, hacker drenou cerca de US$ 25 milhões. O hack era complexo, mas o bug era simples. Hash TX: https://t.co/CqyVvCq5I7

Basicamente, o Popsicle não transfere a dívida de recompensa quando os usuários transferem suas ações. Isso expõe vários exploits, um dos quais foi usado aqui 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) 4 de agosto de 2021

Na autópsia do que aconteceu, PeckShield disseram que questões relacionadas à contabilidade de taxas adequada permitiram ao hacker receber recompensas às quais não tinha direito. A repetição do processo em outros sete grupos multiplicou seus ganhos.

“O hack ocorreu devido à falta de contabilidade adequada de taxas quando os tokens LP são transferidos. Especificamente, o invasor cria três contratos A, B e C e os repete nas sequências de A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() para oito piscinas.”

sequência de exploração de finanças de picolé — @peckshield no Twitter.com

O resultado final foi uma perda total de $ 20.7 milhões consiste em 2.6 mil WETH, 5.4 milhões de USDC, 5 milhões de USDT, 160 mil DAI, 10 mil UNI e 96 WBTC.

CipherTrace alerta que a fraude DeFi está em níveis recordes

Empresa de análise de blockchain CipherTrace relata que, embora o crime criptográfico esteja diminuindo em 2021, a fraude DeFi está em níveis recordes.

Durante os quatro meses até abril de 2021, os criptocriminosos roubaram US$ 432 milhões, sendo 56% disso, ou US$ 240 milhões, provenientes de crimes relacionados ao DeFi.

O CEO da CipherTrace, Dave Jevans, disse que à medida que o DeFi cresce, os malfeitores continuarão a explorar a segurança inadequada dos contratos inteligentes.

“…os malfeitores tentarão aproveitar o hype para atrair as pessoas para fraudes e os hackers procurarão projetos que foram lançados sem realizar auditorias de segurança adequadas, explorando brechas codificadas nos contratos inteligentes.”

PeckShield concluiu que Sorbetto Fragola tinha uma base de código “claramente organizada” e que os problemas identificados foram corrigidos ou confirmados. Mas isto não serve de grande consolo para os investidores que perderam dinheiro.