Popsicle Finance (ICE), una plataforma de ingresos multicadena, acaba de ser pirateada con una pérdida total estimada de casi 25 millones de dólares. El análisis preliminar muestra que los atacantes explotaron varias vulnerabilidades en el mecanismo de facturación y desviaron algunos tokens en el proceso.

Vale la pena señalar que este protocolo ha sido revisado previamente por Peckshield. Esto plantea dudas sobre el curso y la calidad de los proyectos de auditoría y su impacto en los inversores que invierten dinero en el fondo común de liquidez.

Después de la caída, el precio de ICE cayó a un mínimo histórico de 0.9 dólares antes de recuperarse más del 30% a 1.42 dólares al momento de esta publicación, lo que demuestra que muchas personas todavía están muy seguras acerca de la financiación de Popsicle.

Gráfico ICE/USD de 4 horas | Fuente: TradingView

Comprobado todavía bajo asalto

Los piratas informáticos han retirado 25 millones de dólares de Ethereum del registro de administración de liquidez de Sorbetto Fragola. Este es un protocolo desarrollado por Popsicle Finance para optimizar el rango de precios de Uniswap V3. En lugar de tener que seleccionar instantáneamente el rango de liquidez óptimo al participar en el suministro de liquidez en Uniswap V3, los usuarios solo necesitan depositar dinero en el grupo de Sorbetto, este registro encontrará automáticamente el rango de precio óptimo.

Además, se examinó el protocolo Peckshield Sorbetto Fragola. Sin darse cuenta, esto crea entre los compradores una falsa confianza en la energía de los buenos contratos. Este incidente plantea nuevamente la cuestión de la función de las buenas auditorías de contratos y de si estas auditorías son realmente de buena calidad o solo una conversación para engañar a los inversores.

El 28 de junio, Peckshield presentó la auditoría Sorbetto Fragola en GitHub. Pero, sorprendentemente, al informe de auditoría, que debe ser muy cuidadoso y detallado, le faltan las primeras páginas. Sin embargo, al revisar el código del buen contrato, los hechos encontraron seis errores de codificación. Cuatro de ellos están etiquetados como de gravedad media, gravedad baja y error informativo.

El informe afirma que se solucionaron cinco de seis errores, y que el error mortal habitual "Cálculo de cantidad incorrecto en burnLiquidityShare ()" está "Confirmado". Los errores no se relacionan con errores asociados a la facturación.

Durante su revisión de los acontecimientos, Peckshield dijo que los problemas relacionados con la facturación crearon inadvertidamente una oportunidad para que los piratas informáticos tomaran medidas. Y como los atacantes repiten el proceso en otras siete piscinas, sus ingresos se multiplican.

Mudit Gupta, desarrollador principal de DeFi “Blue Chip” SushiSwap, también habló sobre esta historia en Twitter:

Explotados Popsicle Finance, los piratas informáticos retiraron ~ $ 25 millones. El truco fue avanzado, pero el error fue sencillo. Hash TX: https://t.co/CqyVvCq5I7

Básicamente, Popsicle no cambia la deuda de recompensa cuando los clientes cambian sus acciones. Esto expone varios exploits, uno de los cuales se ha utilizado aquí. pic.twitter.com/shdYdyemD9

–Mudit Gupta (@Mudit__Gupta) 4 de agosto de 2021

“Popsicle Finance fue pirateada y los piratas informáticos robaron alrededor de 25 millones de dólares. El truco es avanzado, pero la vulnerabilidad es sencilla. Básicamente, Popsicle no cambia la deuda de bonificación cuando los clientes cambian sus acciones. Esto demuestra que los piratas informáticos tienen muchos exploits, uno de los cuales se ha utilizado aquí. "

Según datos de Peckshield, el hacker creó tres contratos diferentes, por ejemplo A, B y C. A partir de ahí, aprovechó una laguna en el cálculo de las tarifas de transacción.

“El motivo del hackeo fue que la tarifa no se calculó correctamente al transferir los tokens LP. Específicamente, el atacante crea tres contratos A, B y C y los repite en el orden: Depósito en el Contrato A – Transferido de A, tokens LP al Contrato B – Utiliza el mecanismo de cobro de tarifas de Sorbetto para extraer una cantidad y enviarla y luego quedarse con el dinero de B para contratar C – seguir usando sorbetto y luego transferir dinero de C al contrato A – continuar este ciclo con 8 pools”, fuerza laboral dijo.

Después de atacar ocho piscinas, el hacker recaudó un total de unos 8 millones de dólares. Ese efectivo se transfirió en breve a la plataforma Tornado Cash para su eliminación. Posteriormente, Popsicle aseguró a los clientes que el buen contrato de la plataforma no se vio afectado. Al mismo tiempo, los usuarios de los pools ETH/AXS, ETH/SLP, ETH/LINK,… exigen que se retire liquidez en breve.

CipherTrace advierte sobre un fraude récord en DeFi

La firma de análisis CipherTrace informa que, si bien las criptomonedas disminuirán en 2021, el fraude DeFi alcanzará los niveles récord. En los cuatro meses de enero a abril de este año, los criptodelincuentes robaron 4 millones de dólares, de los cuales el 12% ($432 millones) estuvo relacionado con DeFi.

Dave Jevans, director ejecutivo de CipherTrace, dijo que a medida que DeFi crezca, los delincuentes seguirán actuando:

“… Los atacantes siempre están buscando formas de utilizar la publicidad para atraer a las personas a estafas. Los piratas informáticos buscarán proyectos que se iniciaron sin pruebas de seguridad satisfactorias y explotarán las vulnerabilidades codificadas en contratos inteligentes. “

Peckshield concluyó que Sorbetto Fragola tiene una base de código bien organizada y los puntos han sido arreglados o confirmados. Esto también es un pequeño consuelo para los compradores que pierden dinero.

mango

multas Noticias AZCoin

Siga el canal de Youtube | Suscríbete al canal de Telegram. | Sigue la página de Facebook