多链收益平台 冰棒金融 ($ICE) 今天遭受了重大攻击,造成 21 万美元的损失。
初步报告称,攻击者利用了费用核算机制中的缺陷,在此过程中耗尽了多个代币。
更重要的是,有问题的协议, 果汁冰糕, 被审计 防风罩. 可以说,让投资者对智能合约的稳健性产生了一种虚假的信心。
“Sorbetto Fragola 允许用户提供资金,然后用于 Uniswap V3 上的流动性提供 (LP),冰棒策略确保资金永远不会超出 LP 范围。”
这一最新事件进一步让人质疑智能合约审计的目的以及它们是否有任何价值。
冰棒金融怎么了?
防风罩 28 月 XNUMX 日在 GitHub 上发布了对 Sorbetto Fragola 的审计。但奇怪的是,该审计报告似乎从报告开始就缺页了。
尽管如此,他们的智能合约代码审查发现了六个编码错误,其中四个被归类为中等严重性、一个低严重性和一个信息性错误。
该报告指出,六个错误中有五个已得到修复,“burnLiquidityShare() 中的金额计算不正确”的中等严重性问题已被“确认”。
注意到的错误没有提到与费用会计有关的缺陷。
冰棒金融被利用,黑客流失了约 25 万美元。 黑客很复杂,但错误很简单。 交易哈希: https://t.co/CqyVvCq5I7
基本上,当用户转让他们的股份时,冰棒不会转移奖励债务。 这暴露了多个漏洞,这里使用了其中一个 🧵👇 pic.twitter.com/shdYdyemD9
-Mudit Gupta(@Mudit__Gupta) 2021 年 8 月 4 日
在对发生的事情进行事后分析时, 防风罩 上述与适当的费用核算相关的问题使黑客能够收集他们无权获得的奖励。 在其他七个池中重复该过程使他们的收益成倍增加。
“黑客攻击是由于在转移 LP 代币时缺乏适当的费用核算。 具体来说,攻击者创建了三个合约 A、B、C,并按照 A.deposit()、A.transfer(B)、B.collectFees()、B.transfer(C)、C.collectFees() 的顺序重复八个游泳池。”
最终的结果是全损 20.7 百万美元 由 2.6K WETH、5.4M USDC、5M USDT、160K DAI、10K UNI 和 96 WBTC。
CipherTrace 警告称 DeFi 欺诈处于创纪录水平
区块链分析公司 CipherTrace 报告称,虽然加密犯罪在 2021 年有所下降,但 DeFi 欺诈仍处于创纪录的水平。
在截至 2021 年 432 月的四个月中,加密犯罪分子窃取了 56 亿美元,其中 240%,即 XNUMX 亿美元来自 DeFi 相关犯罪。
CipherTrace 的首席执行官 Dave Jevans 表示,随着 DeFi 变得越来越大,不良行为者将继续利用智能合约安全性不足的问题。
“......不良行为者将寻求利用炒作将人们卷入骗局,黑客将寻找在没有执行足够安全审计的情况下启动的项目,利用智能合约中编码的漏洞。”
防风罩 得出的结论是,Sorbetto Fragola 有一个“组织清晰”的代码库,并且确定的问题已得到修复或确认。 但这对亏本的投资者来说并没有什么安慰。
就像你看到的一样? 订阅更新。
资料来源:https://cryptoslate.com/audited-defi-project-popsicle-finance-gets-exploited-for-21-million/