'Granskat' DeFi -projekt Popsicle Finance utnyttjas för 21 miljoner dollar

Multichain avkastningsplattform Popsicle Finans ($ICE) drabbades av ett betydande utnyttjande idag, vilket resulterade i en förlust på 21 miljoner dollar.

De första rapporterna hävdar att angripare utnyttjade ett fel i mekanismen för avgiftsredovisning och tömde flera tokens i processen.

Vad mer, protokollet i fråga, Sorbetto Fragola, granskades av Peckshield. Det ger förmodligen investerare en falsk känsla av förtroende för det smarta kontraktets robusthet.

"Sorbetto Fragola tillåter användare att tillhandahålla medel, som sedan används för att tillhandahålla likviditet (LP) på Uniswap V3, med Popsicle-strategin som säkerställer att medlen aldrig ligger utanför LP-intervallet."

Den senaste incidenten ifrågasätter ytterligare syftet med smarta kontraktsrevisioner och om de har någon merit alls.

Vad hände med Popsicle Finance?

Peckshield publicerade sin granskning av Sorbetto Fragola på GitHub den 28 juni. Men konstigt nog verkar den granskningsrapporten sakna sidor från början av rapporten.

Icke desto mindre visade deras smarta kontraktskodgranskning sex kodningsbuggar, varav fyra klassades som medelsvår, en låg svårighetsgrad och en informativ.

Rapporten säger att fem av de sex buggarna fixades, med medelsvårhetsproblemet "Felaktig beräkning av belopp i burnLiquidityShare()" som "Bekräftad".

De noterade buggarna nämnde inte brister som har att göra med avgiftsredovisning.

Popsicle Finance utnyttjas, hackaren tappade ~25 miljoner dollar. Hacket var komplext men felet var enkelt. TX Hash: https://t.co/CqyVvCq5I7

I grund och botten överför Popsicle inte belöningsskulden när användare överför sina aktier. Detta avslöjar flera bedrifter, varav en användes här 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) Augusti 4, 2021

I obduktionen av vad som hände, Peckshield nämnda problem relaterade till korrekt avgiftsredovisning gjorde det möjligt för hackaren att samla in belöningar som de inte hade rätt till. Att upprepa processen över sju andra pooler multiplicerade deras vinster.

"Hacket berodde på bristen på korrekt avgiftsredovisning när LP-tokens överförs. Specifikt skapar angriparen tre kontrakt A, B och C och upprepar i sekvenserna A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() för åtta pooler.”

Slutresultatet blev en total förlust av $ 20.7 miljoner bestående av 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI,10K UNI och 96 WBTC.

CipherTrace varnar för att DeFi-bedrägeri är på rekordnivåer

Blockchain analysföretag CipherTrace rapporterar att medan kryptobrottsligheten minskar 2021, är DeFi-bedrägeri på rekordnivåer.

Under de fyra månaderna fram till april 2021 stal kryptokriminella 432 miljoner dollar, varav 56 %, eller 240 miljoner dollar, kom från DeFi-relaterad brottslighet.

CipherTraces VD, Dave Jevans, sa att när DeFi blir större kommer dåliga aktörer att fortsätta att utnyttja otillräcklig smart kontraktssäkerhet.

"...dåliga aktörer kommer att försöka dra nytta av hypen för att dra in folk i bedrägerier och hackare kommer att söka efter projekt som har lanserats utan att utföra adekvata säkerhetsrevisioner och utnyttja kryphål kodade i de smarta kontrakten."

Peckshield drog slutsatsen att Sorbetto Fragola hade en "tydligt organiserad" kodbas och att identifierade problem åtgärdades eller bekräftades. Men detta är en liten tröst för investerare som förlorat pengar.

Gillar du vad du ser? Prenumerera för uppdateringar.

Källa: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/