"Перевірений" проект DeFi Popsicle Finance експлуатується за 21 мільйон доларів

Багатоланцюгова платформа прибутку Ескімові фінанси ($ICE) сьогодні зазнали значного експлойту, що призвело до втрати 21 мільйона доларів.

У перших звітах стверджується, що зловмисники скористалися недоліком у механізмі обліку комісії, зливши кілька токенів у процесі.

Більше того, протокол, про який йде мова, Сорбетто Фрагола, пройшов аудит Пекщит. Можливо, це дає інвесторам помилкове відчуття впевненості в надійності смарт-контракту.

«Sorbetto Fragola дозволяє користувачам надавати кошти, які потім використовуються для забезпечення ліквідності (LP) на Uniswap V3, а стратегія Popsicle гарантує, що кошти ніколи не виходять за межі діапазону LP».

Цей останній інцидент ще більше ставить під сумнів мету аудитів смарт-контрактів і їхню користь взагалі.

Що сталося з Popsicle Finance?

Пекщит опублікував свій аудит Sorbetto Fragola на GitHub 28 червня. Але дивно, що в звіті про аудит не вистачає сторінок на початку звіту.

Тим не менш, їх перевірка коду смарт-контракту виявила шість помилок кодування, чотири з яких були класифіковані як середньої серйозності, одна низької серйозності та одна інформаційна.

У звіті зазначено, що п’ять із шести помилок було виправлено, а проблему середнього ступеня тяжкості «Неправильне обчислення суми в burnLiquidityShare()» було «підтверджено».

Зазначені помилки не згадували недоліки, пов’язані з обліком комісії.

Popsicle Finance використано, хакер викрадав ~25 мільйонів доларів. Злом був складним, але помилка проста. Хеш TX: https://t.co/CqyVvCq5I7

По суті, Popsicle не передає борг за винагороду, коли користувачі передають свої акції. Це розкриває кілька експлойтів, один із яких використовувався тут 🧵👇 pic.twitter.com/shdYdyemD9

- Мудіт Гупта (@Mudit__Gupta) Серпень 4, 2021

Посмертно того, що сталося, Пекщит зазначені проблеми, пов'язані з належним обліком гонорарів, дозволили хакеру отримати винагороду, на яку вони не мали права. Повторення процесу в семи інших пулах примножило їхні прибутки.

«Злом стався через відсутність належного обліку комісії при передачі токенів LP. Зокрема, зловмисник створює три контракти A, B і C і повторює в послідовності A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() для восьми басейнів».

Кінцевим результатом стала повна втрата $ 20.7 мільйонів складається з 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI та 96 WBTC.

CipherTrace попереджає, що шахрайство DeFi досягло рекордного рівня

Blockchain аналітична фірма CipherTrace повідомляє, що хоча криптозлочинність у 2021 році зменшується, шахрайство DeFi досягає рекордного рівня.

За чотири місяці до квітня 2021 року криптозлочинці вкрали 432 мільйони доларів, причому 56% із них, або 240 мільйонів доларів, припадає на злочини, пов’язані з DeFi.

Генеральний директор CipherTrace Дейв Джеванс сказав, що зі зростанням DeFi зловмисники продовжуватимуть використовувати неадекватну безпеку смарт-контрактів.

«…погані актори намагатимуться скористатися ажіотажем, щоб залучити людей до шахрайства, а хакери шукатимуть проекти, які були запущені без виконання відповідних перевірок безпеки, використовуючи лазівки, закодовані в смарт-контрактах».

Пекщит зробив висновок, що Sorbetto Fragola має «чітко організовану» кодову базу, і що виявлені проблеми були виправлені або підтверджені. Але це слабка втіха для інвесторів, які втратили гроші.

Подобається те, що ви бачите? Підпишіться на оновлення.

Джерело: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/