Peckshield의 감사에도 불구하고 DeFi Popsicle Finance 프로젝트가 여전히 해킹당하는 이유는 무엇입니까?
다중 체인 수익 플랫폼인 Popsicle Finance(ICE)가 해킹을 당하여 거의 25만 달러에 달하는 자금이 부족한 것으로 추정됩니다. 예비 분석에 따르면 공격자는 청구 메커니즘의 여러 취약점을 악용하고 그 과정에서 일부 토큰을 빼돌린 것으로 나타났습니다.
이 프로토콜은 Peckshield에서 사전에 검토했다는 점에 유의하는 것이 좋습니다. 이는 감사 이니셔티브의 과정과 높은 품질, 그리고 유동성 풀에서 투자를 현금화하는 구매자에게 미치는 영향에 대한 의문을 제기합니다.
폭락 이후 ICE 가격은 보도 시점에 0.9% 이상 반등하여 $30로 반등하기 전에 사상 최저치인 $1.42로 떨어졌으며, 이는 많은 사람들이 여전히 Popsicle 금융에 대해 매우 확신하고 있음을 보여줍니다.
![vi-ao-du-an-defi-popsicle-finance-van-bitan-cong-du-da-duoc-kiem-toan-boi-peckshield[1]](http://news.coincu.com/wp-content/uploads/2021/08/Why-is-the-DeFi-Popsicle-Finance-project-still-being-hacked.png "Peckshield의 감사에도 불구하고 DeFi Popsicle Finance 프로젝트가 여전히 해킹당하는 이유는 무엇입니까? 삼")
ICE / USD 4시간 차트 | 출처: TradingView
여전히 공격을 받고 있는지 확인 중
해커들이 Sorbetto Fragola 유동성 관리 로그에서 25만 달러의 이더리움을 인출했습니다. 이는 Uniswap V3 가격 변동을 최적화하기 위해 Popsicle Finance에서 개발한 프로토콜입니다. Uniswap V3의 유동성 제공에 참여할 때 최적의 유동성 변동을 즉시 선택하는 대신 고객은 Sorbetto 풀에 현금을 입금하기만 하면 됩니다. 그러면 이 로그가 자동으로 최적의 가격 변동을 발견합니다.
또한 Peckshield Sorbetto Fragola 프로토콜을 검사했습니다. 이는 구매자들 사이에 좋은 계약의 에너지에 대한 잘못된 확신을 의도치 않게 만들어냅니다. 이번 사건은 좋은 계약 감사의 기능과 이러한 감사가 실제로 좋은 품질인지 아니면 단지 구매자를 속이기 위한 대화인지에 대한 의문을 다시 한 번 제기합니다.
28월 XNUMX일 Peckshield는 GitHub에 Sorbetto Fragola 감사를 소개했습니다. 그러나 매우 신중하고 상세해야 하는 감사 보고서에는 놀랍게도 첫 페이지가 부족합니다. 그러나 양호한 계약 코드를 검토한 결과 XNUMX건의 코딩 오류가 발견되었습니다. 그 중 XNUMX개는 중간 심각도, 낮은 심각도 및 정보 오류로 표시됩니다.
보고서에는 5개의 오류 중 6개가 해결되었으며 일반적인 치명적인 오류인 "burnLiquidityShare()의 잘못된 수량 계산"이 "확인됨"으로 표시되어 있습니다. 오류는 결제와 관련된 오류와 관련이 없습니다.
사건 개요에서 Peckshield는 청구 관련 사항이 실수로 해커가 움직일 수 있는 기회를 만들었다고 언급했습니다. 그리고 공격자들은 7개의 서로 다른 수영장에서 공격 과정을 반복하므로 수익이 배가됩니다.
DeFi "블루 칩" SushiSwap의 핵심 개발자인 Mudit Gupta는 트위터에서 이 이야기에 대해 추가로 이야기했습니다.
Popsicle Finance를 악용해 해커가 ~25만 달러를 인출했습니다. 해킹은 발전했지만 버그는 쉬웠습니다. 송신 해시: https://t.co/CqyVvCq5I7
기본적으로 Popsicle은 고객이 지분을 전환할 때 보상 부채를 전환하지 않습니다. 이로 인해 여러 가지 공격이 노출되었으며, 그 중 하나가 바로 여기에서 사용되었습니다. pic.twitter.com/shdYdyemD9
– 무딧 굽타(@Mudit__Gupta) 2021 년 8 월 4 일
“Popsicle Finance가 해킹당했고 해커들은 약 25만 달러를 훔쳤습니다. 해킹은 고도화되었지만 취약점은 쉽습니다. 기본적으로 Popsicle은 고객이 주식을 전환할 때 보너스 부채를 전환하지 않습니다. 이는 해커가 많은 공격을 하고 있음을 보여주며, 확실히 그 중 하나가 바로 여기에서 사용되었습니다. ”
Peckshield의 데이터에 따르면 해커는 완전히 다른 세 가지 계약(예: A, B, C)을 생성했습니다. 여기에서 그는 거래 비용 계산의 허점을 이용했습니다.
“해킹의 원인은 LP 토큰을 전송할 때 수수료가 올바르게 계산되지 않았기 때문입니다. 구체적으로 공격자는 세 가지 계약 A, B, C를 생성하고 순서대로 반복합니다. 계약 A에 입금 - A에서 LP 토큰을 계약 B로 전송 - Sorbetto의 수수료 징수 메커니즘을 사용하여 금액을 추출한 후 B에서 돈을 보관합니다. 계약 C – 소르베토를 계속 사용하고 C에서 계약 A로 돈을 이체 – 8개의 풀로 이 루프를 계속합니다.”, 인력 말했다.
해커는 수영장 8개를 공격한 뒤 총 25만 달러(약 XNUMX만 달러)를 모금했다. 해당 현금은 폐기를 위해 곧 Tornado Cash 플랫폼으로 이체되었습니다. 나중에 Popsicle은 플랫폼의 양호한 계약이 영향을 받지 않는다고 고객에게 확신시켰습니다. 동시에 ETH/AXS, ETH/SLP, ETH/LINK 수영장 고객은 유동성을 즉시 인출할 것을 요구합니다.
CipherTrace, 기록적인 DeFi 사기 경고
분석 기관인 CipherTrace는 암호화폐가 2021년에 하락하는 반면 DeFi 사기는 파일 범위에 도달할 것이라고 경험했습니다. 이번 4개월 중 12월부터 432월까지 56개월 동안 암호화폐 범죄자들은 240억 XNUMX만 달러를 훔쳤고, 그 중 XNUMX%(XNUMX억 XNUMX만 달러)가 DeFi와 관련되어 있었습니다.
CipherTrace의 CEO인 Dave Jevans는 DeFi가 커질수록 범죄자들은 다음과 같은 행동을 하게 될 것이라고 말했습니다.
“... 공격자들은 개인을 사기로 유인하기 위해 과대광고를 이용하는 방법을 항상 찾고 있습니다. 해커들은 만족스러운 안전 시험 없이 시작된 계획을 검색하고 좋은 계약서에 코딩된 취약점을 악용할 것입니다. “
Peckshield는 Sorbetto Fragola가 잘 조직된 코드 기반을 가지고 있으며 요점이 고정되거나 확인되었다고 결론지었습니다. 이는 또한 구매자를 이탈시키는 데 작은 위안이 됩니다.
망고
처벌 AZCoin 뉴스
저자
시장
Peckshield의 감사에도 불구하고 DeFi Popsicle Finance 프로젝트가 여전히 해킹당하는 이유는 무엇입니까?
다중 체인 수익 플랫폼인 Popsicle Finance(ICE)가 해킹을 당하여 거의 25만 달러에 달하는 자금이 부족한 것으로 추정됩니다. 예비 분석에 따르면 공격자는 청구 메커니즘의 여러 취약점을 악용하고 그 과정에서 일부 토큰을 빼돌린 것으로 나타났습니다.
이 프로토콜은 Peckshield에서 사전에 검토했다는 점에 유의하는 것이 좋습니다. 이는 감사 이니셔티브의 과정과 높은 품질, 그리고 유동성 풀에서 투자를 현금화하는 구매자에게 미치는 영향에 대한 의문을 제기합니다.
폭락 이후 ICE 가격은 보도 시점에 0.9% 이상 반등하여 $30로 반등하기 전에 사상 최저치인 $1.42로 떨어졌으며, 이는 많은 사람들이 여전히 Popsicle 금융에 대해 매우 확신하고 있음을 보여줍니다.
ICE / USD 4시간 차트 | 출처: TradingView
여전히 공격을 받고 있는지 확인 중
해커들이 Sorbetto Fragola 유동성 관리 로그에서 25만 달러의 이더리움을 인출했습니다. 이는 Uniswap V3 가격 변동을 최적화하기 위해 Popsicle Finance에서 개발한 프로토콜입니다. Uniswap V3의 유동성 제공에 참여할 때 최적의 유동성 변동을 즉시 선택하는 대신 고객은 Sorbetto 풀에 현금을 입금하기만 하면 됩니다. 그러면 이 로그가 자동으로 최적의 가격 변동을 발견합니다.
또한 Peckshield Sorbetto Fragola 프로토콜을 검사했습니다. 이는 구매자들 사이에 좋은 계약의 에너지에 대한 잘못된 확신을 의도치 않게 만들어냅니다. 이번 사건은 좋은 계약 감사의 기능과 이러한 감사가 실제로 좋은 품질인지 아니면 단지 구매자를 속이기 위한 대화인지에 대한 의문을 다시 한 번 제기합니다.
28월 XNUMX일 Peckshield는 GitHub에 Sorbetto Fragola 감사를 소개했습니다. 그러나 매우 신중하고 상세해야 하는 감사 보고서에는 놀랍게도 첫 페이지가 부족합니다. 그러나 양호한 계약 코드를 검토한 결과 XNUMX건의 코딩 오류가 발견되었습니다. 그 중 XNUMX개는 중간 심각도, 낮은 심각도 및 정보 오류로 표시됩니다.
보고서에는 5개의 오류 중 6개가 해결되었으며 일반적인 치명적인 오류인 "burnLiquidityShare()의 잘못된 수량 계산"이 "확인됨"으로 표시되어 있습니다. 오류는 결제와 관련된 오류와 관련이 없습니다.
사건 개요에서 Peckshield는 청구 관련 사항이 실수로 해커가 움직일 수 있는 기회를 만들었다고 언급했습니다. 그리고 공격자들은 7개의 서로 다른 수영장에서 공격 과정을 반복하므로 수익이 배가됩니다.
DeFi "블루 칩" SushiSwap의 핵심 개발자인 Mudit Gupta는 트위터에서 이 이야기에 대해 추가로 이야기했습니다.
Popsicle Finance를 악용해 해커가 ~25만 달러를 인출했습니다. 해킹은 발전했지만 버그는 쉬웠습니다. 송신 해시: https://t.co/CqyVvCq5I7
기본적으로 Popsicle은 고객이 지분을 전환할 때 보상 부채를 전환하지 않습니다. 이로 인해 여러 가지 공격이 노출되었으며, 그 중 하나가 바로 여기에서 사용되었습니다. pic.twitter.com/shdYdyemD9
– 무딧 굽타(@Mudit__Gupta) 2021 년 8 월 4 일
“Popsicle Finance가 해킹당했고 해커들은 약 25만 달러를 훔쳤습니다. 해킹은 고도화되었지만 취약점은 쉽습니다. 기본적으로 Popsicle은 고객이 주식을 전환할 때 보너스 부채를 전환하지 않습니다. 이는 해커가 많은 공격을 하고 있음을 보여주며, 확실히 그 중 하나가 바로 여기에서 사용되었습니다. ”
Peckshield의 데이터에 따르면 해커는 완전히 다른 세 가지 계약(예: A, B, C)을 생성했습니다. 여기에서 그는 거래 비용 계산의 허점을 이용했습니다.
“해킹의 원인은 LP 토큰을 전송할 때 수수료가 올바르게 계산되지 않았기 때문입니다. 구체적으로 공격자는 세 가지 계약 A, B, C를 생성하고 순서대로 반복합니다. 계약 A에 입금 - A에서 LP 토큰을 계약 B로 전송 - Sorbetto의 수수료 징수 메커니즘을 사용하여 금액을 추출한 후 B에서 돈을 보관합니다. 계약 C – 소르베토를 계속 사용하고 C에서 계약 A로 돈을 이체 – 8개의 풀로 이 루프를 계속합니다.”, 인력 말했다.
해커는 수영장 8개를 공격한 뒤 총 25만 달러(약 XNUMX만 달러)를 모금했다. 해당 현금은 폐기를 위해 곧 Tornado Cash 플랫폼으로 이체되었습니다. 나중에 Popsicle은 플랫폼의 양호한 계약이 영향을 받지 않는다고 고객에게 확신시켰습니다. 동시에 ETH/AXS, ETH/SLP, ETH/LINK 수영장 고객은 유동성을 즉시 인출할 것을 요구합니다.
CipherTrace, 기록적인 DeFi 사기 경고
분석 기관인 CipherTrace는 암호화폐가 2021년에 하락하는 반면 DeFi 사기는 파일 범위에 도달할 것이라고 경험했습니다. 이번 4개월 중 12월부터 432월까지 56개월 동안 암호화폐 범죄자들은 240억 XNUMX만 달러를 훔쳤고, 그 중 XNUMX%(XNUMX억 XNUMX만 달러)가 DeFi와 관련되어 있었습니다.
CipherTrace의 CEO인 Dave Jevans는 DeFi가 커질수록 범죄자들은 다음과 같은 행동을 하게 될 것이라고 말했습니다.
“... 공격자들은 개인을 사기로 유인하기 위해 과대광고를 이용하는 방법을 항상 찾고 있습니다. 해커들은 만족스러운 안전 시험 없이 시작된 계획을 검색하고 좋은 계약서에 코딩된 취약점을 악용할 것입니다. “
Peckshield는 Sorbetto Fragola가 잘 조직된 코드 기반을 가지고 있으며 요점이 고정되거나 확인되었다고 결론지었습니다. 이는 또한 구매자를 이탈시키는 데 작은 위안이 됩니다.
망고
처벌 AZCoin 뉴스
기타 게시물
