"Revidirani" projekt DeFi Popsicle Finance je izkoriščen za 21 milijonov dolarjev

Platforma donosa z več verigami Popsicle Finance (ICE) je danes utrpel velik izkoristek, kar je povzročilo izgubo v višini 21 milijonov dolarjev.

Začetna poročila trdijo, da so napadalci izkoristili napako v mehanizmu obračunavanja pristojbin, pri tem pa so izčrpali več žetonov.

Še več, zadevni protokol, Sorbetto Fragola, je revidiral Peckshield. Verjetno daje vlagateljem lažen občutek zaupanja v trdnost pametne pogodbe.

"Sorbetto Fragola uporabnikom omogoča, da zagotovijo sredstva, ki se nato uporabijo za zagotavljanje likvidnosti (LP) pri Uniswap V3, pri čemer strategija Popsicle skrbi, da sredstva nikoli ne bodo izven območja LP."

Ta zadnji incident dodatno postavlja pod vprašaj namen revizij pametnih pogodb in ali imajo sploh kakšno vrednost.

Kaj se je zgodilo s Popsicle Finance?

Peckshield je 28. junija objavil svojo revizijo Sorbetto Fragola na GitHubu. Nenavadno pa se zdi, da v tem revizijskem poročilu od začetka poročila manjkajo strani.

Kljub temu je njihov pregled kode pametnih pogodb odkril šest hroščev kodiranja, od katerih so bile štiri razvrščene kot srednje resne, ena nizka in ena informativna.

Poročilo navaja, da je bilo pet od šestih napak odpravljenih, pri čemer je bila težava srednje stopnje "Nepravilen izračun zneska v burnLiquidityShare ()" "potrjena".

Opažene napake niso omenjale pomanjkljivosti v zvezi z obračunavanjem pristojbin.

Izkoriščena družba Popsicle Finance, heker izčrpal ~25 milijonov dolarjev. Vdor je bil zapleten, napaka pa preprosta. TX Hash: https://t.co/CqyVvCq5I7

V bistvu Popsicle ne prenese dolga za nagrado, ko uporabniki prenesejo svoje delnice. To razkriva več podvigov, od katerih je bil eden uporabljen tukaj 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) Avgust 4, 2021

Posmrtno, kar se je zgodilo, Peckshield omenjena vprašanja v zvezi z ustreznim računovodstvom pristojbin so hekerju omogočila zbiranje nagrad, do katerih niso bili upravičeni. Ponavljanje postopka v sedmih drugih skupinah je povečalo njihove dobičke.

»Do krama je prišlo zaradi pomanjkanja ustreznega obračunavanja pristojbin pri prenosu žetonov LP. Natančneje, napadalec ustvari tri pogodbe A, B in C in se ponovi v zaporedjih A.deposit (), A.transfer (B), B.collectFees (), B.transfer (C), C.collectFees () za osem bazenov. "

Končni rezultat je bila popolna izguba $ 20.7 milijonov ki jo sestavljajo 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI in 96 WBTC.

CipherTrace opozarja, da je goljufija DeFi na rekordni ravni

Blockchain analitično podjetje CipherTrace poroča, da medtem ko kripto kriminal leta 2021 upada, so goljufije DeFi na rekordni ravni.

V štirih mesecih do aprila 2021 so kripto kriminalci ukradli 432 milijonov dolarjev, od tega 56% oziroma 240 milijonov dolarjev iz kriminala, povezanega z DeFi.

Izvršni direktor podjetja CipherTrace Dave Jevans je dejal, da bo DeFi, ko bo postajal vse večji, slabi akterji še naprej izkoriščali neustrezno varnost pametnih pogodb.

"... slabi akterji bodo skušali izkoristiti zvijačo, da bi ljudi privabili v prevare, hekerji pa bodo iskali projekte, ki so se začeli, ne da bi opravili ustrezne varnostne preglede, pri tem pa izkoristili vrzeli, ki so zapisane v pametnih pogodbah."

Peckshield ugotovil, da ima Sorbetto Fragola "jasno organizirano" kodno bazo in da so bile ugotovljene težave odpravljene ali potrjene. Toda to je slaba tolažba za vlagatelje, ki so izgubili denar.

Je všeč, kar vidiš? Naročite se na posodobitve.

Vir: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/