«Аудированный» проект DeFi Popsicle Finance эксплуатируется за 21 миллион долларов

Платформа доходности Multichain Эскимо Финансы ($ ICE) сегодня подвергся серьезной атаке, в результате которой убытки составили 21 миллион долларов.

В первоначальных сообщениях утверждается, что злоумышленники воспользовались недостатком в механизме учета комиссий, опустошив при этом несколько токенов.

Более того, рассматриваемый протокол, Сорбетто Фрагола, прошел аудит Пекшилд. Возможно, это дает инвесторам ложное чувство уверенности в надежности смарт-контракта.

«Sorbetto Fragola позволяет пользователям предоставлять средства, которые затем используются для обеспечения ликвидности (LP) на Uniswap V3, а стратегия Popsicle гарантирует, что средства никогда не выходят за пределы диапазона LP».

Этот последний инцидент также ставит под сомнение цель аудитов смарт-контрактов и есть ли у них вообще какие-либо достоинства.

Что случилось с Popsicle Finance?

Пекшилд опубликовал свой аудит Sorbetto Fragola на GitHub 28 июня. Но, как ни странно, в этом аудиторском отчете не хватает страниц с самого начала.

Тем не менее, их проверка кода смарт-контракта выявила шесть ошибок кодирования, четыре из которых были классифицированы как средняя серьезность, одна низкая серьезность и одна информационная.

В отчете говорится, что пять из шести ошибок были исправлены, при этом проблема средней степени серьезности «Неправильный расчет суммы в burnLiquidityShare ()» была «Подтверждена».

В отмеченных ошибках не упоминались недостатки, связанные с расчетом комиссионных.

Popsicle Finance использовала, хакер потратил около 25 миллионов долларов. Взлом был сложным, но ошибка была простой. TX-хэш: https://t.co/CqyVvCq5I7

По сути, Popsicle не передает задолженность по вознаграждению, когда пользователи передают свои акции. Это открывает несколько эксплойтов, один из которых был использован здесь 🧵👇 pic.twitter.com/shdYdyemD9

- Мудит Гупта (@Mudit__Gupta) 4 августа 2021

После того, что произошло, Пекшилд указанные проблемы, связанные с надлежащим расчетом комиссионных, позволили хакеру собирать вознаграждения, на которые он не имел права. Повторение этого процесса с семью другими пулами увеличило их прибыль.

«Взлом произошел из-за отсутствия надлежащего учета комиссий при передаче токенов LP. В частности, злоумышленник создает три контракта A, B и C и повторяет их в последовательностях A.deposit (), A.transfer (B), B.collectFees (), B.transfer (C), C.collectFees () на восемь бассейнов ».

Конечным результатом была полная потеря $ 20.7 миллионов состоящий из 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI и 96 WBTC.

CipherTrace предупреждает, что мошенничество с DeFi находится на рекордном уровне

Блокчейн аналитическая фирма CipherTrace сообщает, что, хотя в 2021 году криптопреступность снизится, мошенничество DeFi достигнет рекордного уровня.

За четыре месяца до апреля 2021 года криптопреступники украли 432 миллиона долларов, из которых 56%, или 240 миллионов долларов, были связаны с преступлениями, связанными с DeFi.

Генеральный директор CipherTrace Дэйв Джеванс сказал, что по мере роста DeFi злоумышленники будут продолжать использовать неадекватную безопасность смарт-контрактов.

«… Злоумышленники будут стремиться воспользоваться этой шумихой, чтобы вовлечь людей в мошенничество, а хакеры будут искать проекты, которые были запущены без проведения надлежащего аудита безопасности, используя лазейки, закодированные в смарт-контрактах».

Пекшилд пришел к выводу, что Sorbetto Fragola имеет «четко организованную» кодовую базу и что выявленные проблемы исправлены или подтверждены. Но это маленькое утешение для потерявших деньги инвесторов.

Нравится то, что вы видите? Подпишитесь на обновления.

Источник: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/