Платформа доходности Multichain Эскимо Финансы ($ ICE) сегодня подвергся серьезной атаке, в результате которой убытки составили 21 миллион долларов.
В первоначальных сообщениях утверждается, что злоумышленники воспользовались недостатком в механизме учета комиссий, опустошив при этом несколько токенов.
Более того, рассматриваемый протокол, Сорбетто Фрагола, прошел аудит Пекшилд. Возможно, это дает инвесторам ложное чувство уверенности в надежности смарт-контракта.
«Sorbetto Fragola позволяет пользователям предоставлять средства, которые затем используются для обеспечения ликвидности (LP) на Uniswap V3, а стратегия Popsicle гарантирует, что средства никогда не выходят за пределы диапазона LP».
Этот последний инцидент также ставит под сомнение цель аудитов смарт-контрактов и есть ли у них вообще какие-либо достоинства.
Что случилось с Popsicle Finance?
Пекшилд опубликовал свой аудит Sorbetto Fragola на GitHub 28 июня. Но, как ни странно, в этом аудиторском отчете не хватает страниц с самого начала.
Тем не менее, их проверка кода смарт-контракта выявила шесть ошибок кодирования, четыре из которых были классифицированы как средняя серьезность, одна низкая серьезность и одна информационная.
В отчете говорится, что пять из шести ошибок были исправлены, при этом проблема средней степени серьезности «Неправильный расчет суммы в burnLiquidityShare ()» была «Подтверждена».
В отмеченных ошибках не упоминались недостатки, связанные с расчетом комиссионных.
Popsicle Finance использовала, хакер потратил около 25 миллионов долларов. Взлом был сложным, но ошибка была простой. TX-хэш: https://t.co/CqyVvCq5I7
По сути, Popsicle не передает задолженность по вознаграждению, когда пользователи передают свои акции. Это открывает несколько эксплойтов, один из которых был использован здесь 🧵👇 pic.twitter.com/shdYdyemD9
- Мудит Гупта (@Mudit__Gupta) 4 августа 2021
После того, что произошло, Пекшилд указанные проблемы, связанные с надлежащим расчетом комиссионных, позволили хакеру собирать вознаграждения, на которые он не имел права. Повторение этого процесса с семью другими пулами увеличило их прибыль.
«Взлом произошел из-за отсутствия надлежащего учета комиссий при передаче токенов LP. В частности, злоумышленник создает три контракта A, B и C и повторяет их в последовательностях A.deposit (), A.transfer (B), B.collectFees (), B.transfer (C), C.collectFees () на восемь бассейнов ».
Конечным результатом была полная потеря $ 20.7 миллионов состоящий из 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI и 96 WBTC.
CipherTrace предупреждает, что мошенничество с DeFi находится на рекордном уровне
Блокчейн аналитическая фирма CipherTrace сообщает, что, хотя в 2021 году криптопреступность снизится, мошенничество DeFi достигнет рекордного уровня.
За четыре месяца до апреля 2021 года криптопреступники украли 432 миллиона долларов, из которых 56%, или 240 миллионов долларов, были связаны с преступлениями, связанными с DeFi.
Генеральный директор CipherTrace Дэйв Джеванс сказал, что по мере роста DeFi злоумышленники будут продолжать использовать неадекватную безопасность смарт-контрактов.
«… Злоумышленники будут стремиться воспользоваться этой шумихой, чтобы вовлечь людей в мошенничество, а хакеры будут искать проекты, которые были запущены без проведения надлежащего аудита безопасности, используя лазейки, закодированные в смарт-контрактах».
Пекшилд пришел к выводу, что Sorbetto Fragola имеет «четко организованную» кодовую базу и что выявленные проблемы исправлены или подтверждены. Но это маленькое утешение для потерявших деньги инвесторов.
Получить край на рынке криптоактивов
Получите доступ к дополнительным сведениям о криптовалюте и контексту в каждой статье в качестве платного участника Край КриптоСлейт.
Ончейн анализ
Снимки цен
Больше контекста
Присоединяйтесь сейчас за 19 долларов в месяц Узнайте обо всех преимуществах
Нравится то, что вы видите? Подпишитесь на обновления.
- 7
- 9
- Бухгалтерский учет
- плюс
- Все
- аналитика
- апрель
- гайд
- аудит
- Ошибка
- ошибки
- Генеральный директор
- CipherTrace
- код
- Кодирование
- приход
- доверие
- продолжать
- контракт
- контрактов
- Преступление
- Преступники
- крипто-
- DAI
- Долг
- Defi
- DID
- Эксплуатировать
- финансы
- Фирма
- недостаток
- недостатки
- Для инвесторов
- мошенничество
- средства
- GitHub
- Отдаете
- мотыга
- хакер
- Хакеры
- хэш
- здесь
- HTTPS
- размышления
- Инвесторы
- вопросы
- присоединиться
- последний
- Ликвидность
- LP
- Создание
- средний
- миллиона
- деньги
- месяцев
- Другое
- Люди
- Платформа
- Пулы
- цена
- Проект
- проектов
- ассортимент
- отчету
- Отчеты
- Reuters
- обзоре
- Награды
- мошенничество
- безопасность
- смысл
- Акции
- просто
- ШЕСТЬ
- умный
- умный контракт
- Смарт-контракты
- Начало
- Области
- украли
- Стратегия
- Лексемы
- Uniswap
- Updates
- USDC
- USDT
- пользователей
- wBTC
- КТО
- Уступать