Багатоланцюгова платформа прибутку Ескімові фінанси ($ICE) сьогодні зазнали значного експлойту, що призвело до втрати 21 мільйона доларів.
У перших звітах стверджується, що зловмисники скористалися недоліком у механізмі обліку комісії, зливши кілька токенів у процесі.
Більше того, протокол, про який йде мова, Сорбетто Фрагола, пройшов аудит Пекщит. Можливо, це дає інвесторам помилкове відчуття впевненості в надійності смарт-контракту.
«Sorbetto Fragola дозволяє користувачам надавати кошти, які потім використовуються для забезпечення ліквідності (LP) на Uniswap V3, а стратегія Popsicle гарантує, що кошти ніколи не виходять за межі діапазону LP».
Цей останній інцидент ще більше ставить під сумнів мету аудитів смарт-контрактів і їхню користь взагалі.
Що сталося з Popsicle Finance?
Пекщит опублікував свій аудит Sorbetto Fragola на GitHub 28 червня. Але дивно, що в звіті про аудит не вистачає сторінок на початку звіту.
Тим не менш, їх перевірка коду смарт-контракту виявила шість помилок кодування, чотири з яких були класифіковані як середньої серйозності, одна низької серйозності та одна інформаційна.
У звіті зазначено, що п’ять із шести помилок було виправлено, а проблему середнього ступеня тяжкості «Неправильне обчислення суми в burnLiquidityShare()» було «підтверджено».
Зазначені помилки не згадували недоліки, пов’язані з обліком комісії.
Popsicle Finance використано, хакер викрадав ~25 мільйонів доларів. Злом був складним, але помилка проста. Хеш TX: https://t.co/CqyVvCq5I7
По суті, Popsicle не передає борг за винагороду, коли користувачі передають свої акції. Це розкриває кілька експлойтів, один із яких використовувався тут 🧵👇 pic.twitter.com/shdYdyemD9
- Мудіт Гупта (@Mudit__Gupta) Серпень 4, 2021
Посмертно того, що сталося, Пекщит зазначені проблеми, пов'язані з належним обліком гонорарів, дозволили хакеру отримати винагороду, на яку вони не мали права. Повторення процесу в семи інших пулах примножило їхні прибутки.
«Злом стався через відсутність належного обліку комісії при передачі токенів LP. Зокрема, зловмисник створює три контракти A, B і C і повторює в послідовності A.deposit(), A.transfer(B), B.collectFees(), B.transfer(C), C.collectFees() для восьми басейнів».
Кінцевим результатом стала повна втрата $ 20.7 мільйонів складається з 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI та 96 WBTC.
CipherTrace попереджає, що шахрайство DeFi досягло рекордного рівня
Blockchain аналітична фірма CipherTrace повідомляє, що хоча криптозлочинність у 2021 році зменшується, шахрайство DeFi досягає рекордного рівня.
За чотири місяці до квітня 2021 року криптозлочинці вкрали 432 мільйони доларів, причому 56% із них, або 240 мільйонів доларів, припадає на злочини, пов’язані з DeFi.
Генеральний директор CipherTrace Дейв Джеванс сказав, що зі зростанням DeFi зловмисники продовжуватимуть використовувати неадекватну безпеку смарт-контрактів.
«…погані актори намагатимуться скористатися ажіотажем, щоб залучити людей до шахрайства, а хакери шукатимуть проекти, які були запущені без виконання відповідних перевірок безпеки, використовуючи лазівки, закодовані в смарт-контрактах».
Пекщит зробив висновок, що Sorbetto Fragola має «чітко організовану» кодову базу, і що виявлені проблеми були виправлені або підтверджені. Але це слабка втіха для інвесторів, які втратили гроші.
Отримати край на ринку криптоактивів
Отримуйте більше криптоінформації та контексту в кожній статті як платний член CryptoSlate Edge.
Аналіз на ланцюгах
Знімки цін
Більше контексту
Подобається те, що ви бачите? Підпишіться на оновлення.
- 7
- 9
- бухгалтерський облік
- Перевага
- ВСІ
- аналітика
- квітня
- стаття
- аудит
- Помилка
- помилки
- Генеральний директор
- CipherTrace
- код
- Кодування
- майбутній
- довіра
- продовжувати
- контракт
- контрактів
- Злочин
- злочинці
- крипто
- DAI
- Борг
- Defi
- DID
- Експлуатувати
- фінансування
- Фірма
- недолік
- недоліки
- Для інвесторів
- шахрайство
- засоби
- GitHub
- дає
- зламати
- хакер
- хакери
- мішанина
- тут
- HTTPS
- розуміння
- Інвестори
- питання
- приєднатися
- останній
- ліквідності
- LP
- Робить
- середа
- мільйона
- гроші
- місяців
- Інше
- Люди
- платформа
- Басейни
- price
- проект
- проектів
- діапазон
- звітом
- Звіти
- Reuters
- огляд
- Нагороди
- шахрайство
- безпеку
- сенс
- акції
- простий
- SIX
- розумний
- розумний контракт
- Спритні контракти
- старт
- Штати
- вкрав
- Стратегія
- Жетони
- Відключення
- Updates
- USDC
- USDT
- користувачі
- wBTC
- ВООЗ
- вихід