Dự án DeFi 'đã được kiểm toán' Popsicle Finance được khai thác với giá 21 triệu đô la

Nền tảng lợi nhuận đa hướng Tài chính Popsicle ($ ICE) đã bị khai thác đáng kể ngày hôm nay, dẫn đến khoản lỗ 21 triệu đô la.

Các báo cáo ban đầu cho rằng những kẻ tấn công đã lợi dụng một lỗ hổng trong cơ chế hạch toán phí, rút ​​sạch một số mã thông báo trong quá trình này.

Hơn nữa, giao thức được đề cập, Sorbetto Fragola, đã được kiểm toán bởi tấm chắn. Có thể cho rằng tạo cho các nhà đầu tư một cảm giác tin tưởng sai lầm về tính mạnh mẽ của hợp đồng thông minh.

“Sorbetto Fragola cho phép người dùng cung cấp tiền, sau đó được sử dụng để cung cấp thanh khoản (LP) trên Uniswap V3, với chiến lược Popsicle đảm bảo rằng số tiền đó không bao giờ nằm ​​ngoài phạm vi LP.”

Sự cố mới nhất này tiếp tục đặt ra câu hỏi về mục đích của việc kiểm tra hợp đồng thông minh và liệu chúng có bất kỳ lợi ích nào hay không.

Điều gì đã xảy ra với Popsicle Finance?

tấm chắn đã công bố cuộc kiểm toán Sorbetto Fragola trên GitHub vào ngày 28 tháng XNUMX. Nhưng kỳ lạ thay, báo cáo kiểm toán đó dường như bị thiếu các trang kể từ đầu báo cáo.

Tuy nhiên, việc xem xét mã hợp đồng thông minh của họ đã phát hiện ra sáu lỗi mã hóa, bốn trong số đó được phân loại là mức độ nghiêm trọng trung bình, một mức độ nghiêm trọng thấp và một lỗi mang tính thông tin.

Báo cáo cho biết XNUMX trong số XNUMX lỗi đã được khắc phục, với mức độ nghiêm trọng trung bình là “Tính toán số lượng không chính xác trong burnLiquidityShare ()” đang được “Xác nhận”.

Các lỗi được lưu ý không đề cập đến các sai sót liên quan đến kế toán phí.

Popsicle Finance bị khai thác, tin tặc rút hết ~ 25 triệu đô la. Vụ hack rất phức tạp nhưng lỗi rất đơn giản. TX Hash: https://t.co/CqyVvCq5I7

Về cơ bản, Popsicle không chuyển nợ thưởng khi người dùng chuyển nhượng cổ phần của họ. Điều này cho thấy nhiều cách khai thác, một trong số đó đã được sử dụng ở đây 🧵👇 pic.twitter.com/shdYdyemD9

- Mudit Gupta (@Mudit__Gupta) Tháng Tám 4, 2021

Trong quá trình khám nghiệm tử thi về những gì đã xảy ra, tấm chắn cho biết các vấn đề liên quan đến việc hạch toán phí hợp lý đã cho phép hacker thu thập phần thưởng mà họ không được hưởng. Lặp lại quá trình trên bảy nhóm khác sẽ nhân số tiền thu được của họ.

“Vụ hack là do thiếu tính toán phí thích hợp khi các token LP được chuyển. Cụ thể, kẻ tấn công tạo ra ba hợp đồng A, B và C và lặp lại theo trình tự A.deposit (), A.transfer (B), B.collectFees (), B.transfer (C), C.collectFees () cho tám hồ bơi. "

Kết quả cuối cùng là mất toàn bộ $ 20.7 triệu bao gồm 2.6 nghìn WETH, 5.4 triệu USDC, 5 triệu USDT, 160 nghìn DAI, 10 nghìn UNI và 96 WBTC.

CipherTrace cảnh báo rằng gian lận DeFi đang ở mức kỷ lục

Công ty phân tích chuỗi khối CipherTrace báo cáo rằng trong khi tội phạm tiền điện tử đang giảm vào năm 2021, gian lận DeFi đang ở mức kỷ lục.

Trong bốn tháng đến tháng 2021 năm 432, bọn tội phạm tiền điện tử đã đánh cắp 56 triệu đô la, với 240% trong số đó, tương đương XNUMX triệu đô la, đến từ tội phạm liên quan đến DeFi.

Giám đốc điều hành của CipherTrace, Dave Jevans cho biết khi DeFi trở nên lớn hơn, những kẻ xấu sẽ tiếp tục khai thác bảo mật hợp đồng thông minh không đầy đủ.

“… Những kẻ xấu sẽ tìm cách lợi dụng sự cường điệu để lôi kéo mọi người vào trò lừa đảo và tin tặc sẽ tìm kiếm các dự án đã khởi chạy mà không thực hiện kiểm tra bảo mật đầy đủ, khai thác các lỗ hổng được mã hóa trong các hợp đồng thông minh.”

tấm chắn kết luận rằng Sorbetto Fragola có một cơ sở mã “được tổ chức rõ ràng” và các vấn đề được xác định đã được khắc phục hoặc xác nhận. Nhưng đây là niềm an ủi nho nhỏ cho những nhà đầu tư thua lỗ.

Cũng giống như những gì bạn thấy? Đăng ký để cập nhật.

Nguồn: https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/