Popsicle Finance (ICE), eine Multi-Chain-Umsatzplattform, wurde gerade mit einem geschätzten Gesamtverlust von fast 25 Millionen US-Dollar gehackt. Vorläufige Analysen zeigen, dass Angreifer mehrere Schwachstellen im Abrechnungsmechanismus ausnutzten und dabei einige Token abzogen.

Es ist erwähnenswert, dass dieses Protokoll zuvor von Peckshield überprüft wurde. Dies wirft Fragen zum Verlauf und zur Qualität von Prüfinitiativen und deren Auswirkungen auf Käufer auf, die Geld in den Liquiditätspool investieren.

Nach dem Absturz fiel der ICE-Preis auf ein Allzeittief von 0.9 US-Dollar, bevor er sich bei Redaktionsschluss um mehr als 30 % auf 1.42 US-Dollar erholte, was zeigt, dass viele Menschen immer noch sehr zuversichtlich sind, was die Popsicle-Finanzierung angeht.

ICE/USD 4-Stunden-Chart | Quelle: TradingView

Immer noch unter Angriff überprüft

Hacker haben Ethereum im Wert von 25 Millionen US-Dollar aus dem Liquiditätsverwaltungsprotokoll von Sorbetto Fragola abgezogen. Dies ist ein von Popsicle Finance entwickeltes Protokoll zur Optimierung der Uniswap V3-Preisspanne. Anstatt bei der Bereitstellung von Liquidität auf Uniswap V3 sofort die optimale Liquiditätsspanne auswählen zu können, müssen Benutzer lediglich Bargeld in den Pool von Sorbetto einzahlen, dieser erkennt dann automatisch die optimale Liquiditätsspanne.

Darüber hinaus wurde das Peckshield Sorbetto Fragola-Protokoll untersucht. Dadurch entsteht bei den Käufern unbeabsichtigt ein falsches Vertrauen in die Wirkung guter Verträge. Dieser Vorfall wirft erneut die Frage nach der Funktion guter Vertragsprüfungen auf und ob diese Prüfungen tatsächlich von hoher Qualität sind oder nur ein Dialog zur Täuschung von Käufern?

Am 28. Juni stellte Peckshield das Sorbetto Fragola-Audit auf GitHub vor. Doch überraschenderweise fehlen im Prüfbericht, der sehr vorsichtig und detailliert sein muss, die ersten Seiten. Bei der Überprüfung des guten Vertragscodes stellten die Events jedoch sechs Codierungsfehler fest. Vier davon werden als mittlerer Schweregrad, niedriger Schweregrad und Informationsfehler gekennzeichnet.

In dem Bericht heißt es, dass fünf von sechs Fehlern behoben wurden, wobei der häufige tödliche Fehler „Falsche Mengenberechnung in burnLiquidityShare ()“ „Bestätigt“ wurde. Fehler beziehen sich nicht auf Fehler im Zusammenhang mit der Abrechnung.

In seinem Überblick über die Ereignisse erwähnte Peckshield, dass abrechnungsbezogene Probleme versehentlich eine Chance für Hacker darstellten, Maßnahmen zu ergreifen. Und da die Angreifer den Vorgang an sieben verschiedenen Schwimmbädern wiederholen, vervielfachen sich ihre Einnahmen.

Mudit Gupta, ein Hauptentwickler von DeFi „Blue Chip“ SushiSwap, sprach zusätzlich über diese Geschichte auf Twitter:

Hacker haben Popsicle Finance ausgenutzt und etwa 25 Millionen US-Dollar abgehoben. Der Hack war fortgeschritten, der Fehler war jedoch einfach. TX-Hash: https://t.co/CqyVvCq5I7

Grundsätzlich tauscht Popsicle die Prämienschulden nicht aus, wenn Kunden ihre Anteile tauschen. Dies deckt eine Reihe von Exploits auf, von denen sicherlich einer hier genutzt wurde pic.twitter.com/shdYdyemD9

– Mudit Gupta (@Mudit__Gupta) 4. August 2021

„Popsicle Finance wurde gehackt, Hacker erbeuteten etwa 25 Millionen Dollar. Der Hack ist fortgeschritten, die Schwachstelle ist jedoch einfach. Grundsätzlich tauscht Popsicle die Bonusschulden nicht aus, wenn Kunden ihre Anteile tauschen. Dies zeigt, dass Hacker viele Exploits haben, von denen einer hier verwendet wurde. ”

Nach Angaben von Peckshield erstellte der Hacker drei verschiedene Verträge, darunter A, B und C. Von dort aus nutzte er eine Lücke bei der Berechnung der Transaktionsgebühren.

„Der Grund für den Hack war, dass die Gebühr bei der Übertragung der LP-Tokens nicht korrekt berechnet wurde. Konkret erstellt der Angreifer drei Verträge A, B und C und wiederholt sie in der Reihenfolge: Einzahlung auf Vertrag A – Übertragung von A, LP-Tokens auf Vertrag B – Nutzung des Gebührenerhebungsmechanismus von Sorbetto, um einen Betrag abzuheben und Geld von B zu senden und dann zu behalten zu Vertrag C – weiterhin Sorbetto verwenden und dann Geld von C an Vertrag A überweisen – diese Schleife mit 8 Pools fortsetzen“, Belegschaft sagte.

Nach dem Angriff auf acht Schwimmbäder sammelte der Hacker insgesamt rund 8 Millionen US-Dollar. Dieses Geld wurde in Kürze zur Entsorgung an die Tornado Cash-Plattform übertragen. Popsicle versicherte den Kunden später, dass der gute Vertrag der Plattform dadurch nicht beeinträchtigt werde. Gleichzeitig fordern Kunden der Schwimmbäder ETH/AXS, ETH/SLP, ETH/LINK, … einen baldigen Liquiditätsabzug.

CipherTrace warnt vor rekordverdächtigem DeFi-Betrug

Das Analyseunternehmen CipherTrace berichtet, dass die Kryptowährung im Jahr 2021 zwar zurückgehen wird, der DeFi-Betrug jedoch auf Rekordniveau zunehmen wird. In den vier Monaten von Januar bis April dieses Jahres haben Krypto-Kriminelle 4 Millionen US-Dollar gestohlen, wovon 12 % (432 Millionen US-Dollar) mit DeFi in Verbindung gebracht wurden.

Dave Jevans, CEO von CipherTrace, sagte, dass sich Kriminelle mit zunehmender DeFi weiterhin wie folgt verhalten werden:

„… Angreifer sind immer auf der Suche nach Möglichkeiten, den Hype zu nutzen, um Menschen zu Betrügereien zu verleiten. Hacker suchen nach Projekten, die ohne ausreichende Sicherheitsprüfungen gestartet wurden, und nutzen in guten Verträgen enthaltene Schwachstellen aus. „

Peckshield kam zu dem Schluss, dass Sorbetto Fragola über eine gut organisierte Codebasis verfügt und die Punkte bestätigt bzw. bestätigt wurden. Dies ist auch ein kleiner Trost für abwerbende Käufer.

Mango

Strafen AZCoin-Neuigkeiten

Folgen Sie dem Youtube-Kanal | Abonnieren Sie den Telegram-Kanal | Folgen Sie der Facebook-Seite