Popsicle Finance (ICE), une plateforme de revenus multi-chaînes, vient d'être piratée avec une perte totale estimée à près de 25 millions de dollars. Une analyse préliminaire montre que les attaquants ont exploité un certain nombre de vulnérabilités dans le mécanisme de facturation et ont siphonné certains jetons au passage.

Il convient de noter que ce protocole a été préalablement examiné par Peckshield. Cela soulève des questions sur le déroulement et la qualité des initiatives d'audit et sur leur impact sur les investisseurs qui investissent de l'argent dans le pool de liquidités.

Après le krach, le prix de l'ICE est tombé à un plus bas historique de 0.9 $ avant de rebondir de plus de 30 % à 1.42 $ au moment de la publication, ce qui montre que de nombreuses personnes sont toujours très confiantes dans le financement de Popsicle.

Graphique ICE/USD sur 4 heures | Source : TradingView

Vérifié toujours sous assaut

Les pirates ont retiré 25 millions de dollars d'Ethereum du journal d'administration des liquidités de Sorbetto Fragola. Il s'agit d'un protocole développé par Popsicle Finance pour optimiser la fourchette de prix d'Uniswap V3. Au lieu de pouvoir choisir immédiatement la fourchette de liquidité optimale lorsqu'ils participent à la fourniture de liquidités sur Uniswap V3, les utilisateurs n'ont qu'à déposer de l'argent dans le pool de Sorbetto, ce journal découvrira alors automatiquement la fourchette de prix optimale.

De plus, le protocole Peckshield Sorbetto Fragola a été examiné. Cela crée par inadvertance une fausse confiance dans l’énergie des bons contrats parmi les acheteurs. Cet incident soulève une fois de plus la question du rôle des bons audits de contrats et si ces audits sont réellement de bonne qualité ou seulement une conversation pour tromper les acheteurs ?

Le 28 juin, Peckshield a présenté l'audit Sorbetto Fragola sur GitHub. Mais de manière assez surprenante, le rapport d'audit, qui doit être très prudent et détaillé, manque des premières pages. Cependant, lors de l'examen du bon code du contrat, les événements ont révélé six erreurs de codage. Quatre d’entre eux sont classés comme étant de gravité moyenne, de gravité faible et d’erreur d’information.

Le rapport indique que cinq erreurs sur six ont été corrigées, l'erreur mortelle courante « Calcul du montant incorrect dans burnLiquidityShare () » étant « Confirmée ». Les erreurs ne concernent pas les erreurs associées à la facturation.

Au cours de son aperçu des événements, Peckshield a déclaré que les problèmes liés à la facturation créaient par inadvertance une opportunité pour les pirates informatiques d'agir. Et comme les assaillants répètent le parcours sur sept piscines différentes, leurs revenus sont multipliés.

Mudit Gupta, l'un des principaux développeurs de DeFi « Blue Chip » SushiSwap, a également parlé de cette histoire sur Twitter :

Exploité par Popsicle Finance, les pirates ont retiré environ 25 millions de dollars. Le hack était avancé, mais le bug était simple. Hachage TX : https://t.co/CqyVvCq5I7

Fondamentalement, Popsicle ne change pas la dette de récompense lorsque les clients échangent leurs actions. Cela expose un certain nombre d'exploits, dont l'un a certainement été utilisé ici. pic.twitter.com/shdYdyemD9

– Mudit Gupta (@Mudit__Gupta) 4 août 2021

« Popsicle Finance a été piraté, les pirates ont récupéré environ 25 millions de dollars. Le hack est avancé, mais la vulnérabilité est simple. Fondamentalement, Popsicle ne change pas de dette bonus lorsque les clients échangent leurs actions. Cela montre que les pirates informatiques disposent de nombreux exploits, dont l’un a certainement été utilisé ici. »

Selon les données de Peckshield, le hacker a créé trois contrats totalement différents, par exemple A, B et C. À partir de là, il a profité d'une faille dans le calcul des frais de transaction.

« La raison du piratage était que les frais n'étaient pas calculés correctement lors du transfert des jetons LP. Plus précisément, l'attaquant crée trois contrats A, B et C et les répète dans l'ordre : Dépôt sur le contrat A – Transféré de A, jetons LP vers le contrat B – Utiliser le mécanisme de collecte des frais de Sorbetto pour extraire un montant et l'envoyer puis conserver l'argent de B. au contrat C – continuez à utiliser le sorbetto puis transférez de l'argent de C au contrat A – continuez cette boucle avec 8 cagnottes », effectif a affirmé Valérie Plante..

Après avoir attaqué 8 piscines, le hacker a récolté au total environ 25 millions de dollars. Cet argent a été rapidement transféré vers la plateforme Tornado Cash pour être éliminé. Popsicle a ensuite assuré aux clients que le bon contrat de la plateforme n'était pas affecté. Parallèlement, les clients des piscines ETH/AXS, ETH/SLP, ETH/LINK, … exigent que les liquidités soient retirées prochainement.

CipherTrace met en garde contre une fraude DeFi record

La société d'analyse CipherTrace rapporte que même si la crypto-monnaie diminuera en 2021, la fraude DeFi atteindra des niveaux record. Au cours des 4 mois de janvier à avril de cette année, les crypto-criminels ont volé 12 millions de dollars, dont 432 % (56 millions de dollars) étaient associés à DeFi.

Dave Jevans, PDG de CipherTrace, a déclaré qu'à mesure que DeFi grandira, les criminels continueront à se comporter :

«… Les attaquants sont toujours à la recherche de moyens d'utiliser le battage médiatique pour attirer les individus dans des escroqueries. Les pirates rechercheront des projets qui ont été lancés sans tests de sécurité satisfaisants et exploiteront les vulnérabilités codées dans les bons contrats. "

Peckshield a conclu que Sorbetto Fragola dispose d'une base de code bien organisée et que les points ont été corrigés ou confirmés. C’est aussi une petite consolation pour les acheteurs perdants.

la mangue

sanctions Actualités AZCoin

Suivez la chaîne Youtube | Abonnez-vous à la chaîne de télégramme | Suivez la page Facebook