Proiectul DeFi „auditat” Popsicle Finance este exploatat pentru 21 de milioane de dolari

Platformă de randament cu mai multe lanțuri Popsicle Finance ($ICE) a suferit o exploatare semnificativă astăzi, rezultând o pierdere de 21 de milioane de dolari.

Rapoartele inițiale susțin că atacatorii au profitat de o defecțiune a mecanismului de contabilizare a taxelor, drenând mai multe jetoane în acest proces.

Mai mult, protocolul în cauză, Sorbet Fragola, a fost auditat de Peckshield. Se poate spune că le oferă investitorilor un fals sentiment de încredere în robustețea contractului inteligent.

„Sorbetto Fragola permite utilizatorilor să furnizeze fonduri, care sunt apoi folosite pentru furnizarea de lichidități (LP) pe Uniswap V3, strategia Popsicle asigurându-se că fondurile nu sunt niciodată în afara intervalului LP.”

Acest ultim incident pune sub semnul întrebării scopul auditurilor de contracte inteligente și dacă acestea au vreun merit.

Ce s-a întâmplat cu Popsicle Finance?

Peckshield și-a publicat auditul lui Sorbetto Fragola pe GitHub pe 28 iunie. Dar în mod ciudat, acel raport de audit pare să lipsească pagini de la începutul raportului.

Cu toate acestea, revizuirea lor inteligentă a codului de contract a evidențiat șase erori de codare, dintre care patru au fost clasificate ca fiind de severitate medie, una de severitate scăzută și una informațională.

Raportul afirmă că cinci dintre cele șase erori au fost remediate, problema de severitate medie a „Calcul incorect al sumei în burnLiquidityShare()” fiind „Confirmată”.

Erorile notate nu au menționat defecte legate de contabilitatea taxelor.

Popsicle Finance a fost exploatat, hackerul a scurs ~25 milioane USD. Hack-ul a fost complex, dar bug-ul a fost simplu. TX Hash: https://t.co/CqyVvCq5I7

Practic, Popsicle nu transferă datoria de recompensă atunci când utilizatorii își transferă acțiunile. Aceasta expune mai multe exploit-uri, dintre care una a fost folosită aici 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) August 4, 2021

În autopsia a ceea ce s-a întâmplat, Peckshield a spus că problemele legate de contabilizarea corectă a taxelor au permis hackerului să colecteze recompense la care nu aveau dreptul. Repetarea procesului în alte șapte grupuri le-a multiplicat câștigurile.

„Hack-ul s-a datorat lipsei unei contabilități adecvate a taxelor atunci când jetoanele LP sunt transferate. Mai exact, atacatorul creează trei contracte A, B și C și se repetă în secvențele A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() pentru opt bazine.”

Rezultatul final a fost o pierdere totală de $ 20.7 de milioane de constând 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI și 96 WBTC.

CipherTrace avertizează că frauda DeFi este la niveluri record

Firma de analiză Blockchain CipherTrace raportează că, în timp ce criminalitatea criptografică este în scădere în 2021, frauda DeFi este la niveluri record.

Pentru cele patru luni până în aprilie 2021, criptocriminalii au furat 432 de milioane de dolari, din care 56%, sau 240 de milioane de dolari, provenind din infracțiuni legate de DeFi.

CEO-ul CipherTrace, Dave Jevans, a declarat că, pe măsură ce DeFi devine mai mare, actorii răi vor continua să exploateze securitatea inadecvată a contractelor inteligente.

„... actorii răi vor căuta să profite de hype pentru a atrage oamenii în escrocherii, iar hackerii vor căuta proiecte care au fost lansate fără a efectua audituri de securitate adecvate, exploatând lacunele codificate în contractele inteligente.”

Peckshield a concluzionat că Sorbetto Fragola avea o bază de cod „clar organizată” și că problemele identificate au fost remediate sau confirmate. Dar aceasta este o mică consolare pentru investitorii care au pierdut bani.

Ca ce vezi? Abonați-vă pentru actualizări.

Sursa: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/