Popsicle Finance (ICE), uma plataforma de receita multi-cadeia, acabou de ser hackeada com uma perda total estimada em quase US$ 25 milhões. A análise preliminar mostra que os invasores exploraram várias vulnerabilidades no mecanismo de cobrança e desviaram alguns tokens no processo.

É importante notar que este protocolo foi previamente revisado pela Peckshield. Isso levanta questões sobre o andamento e a qualidade das iniciativas de auditoria e seu impacto sobre os investidores que investem dinheiro no pool de liquidez.

Após a queda, o preço do ICE caiu para o mínimo histórico de US$ 0.9 antes de se recuperar mais de 30%, para US$ 1.42 até o momento, mostrando que muitas pessoas ainda estão muito confiantes sobre o financiamento do picolé.

Gráfico ICE / USD de 4 horas | Fonte: TradingView

Verificado ainda sob ataque

Hackers retiraram US$ 25 milhões de Ethereum do registro de administração de liquidez do Sorbetto Fragola. Este é um protocolo desenvolvido pela Popsicle Finance para otimizar a faixa de preço do Uniswap V3. Em vez de poder selecionar diretamente a faixa de liquidez ideal ao participar do fornecimento de liquidez no Uniswap V3, os usuários só precisam depositar dinheiro no pool do Sorbetto, esse registro irá então encontrar automaticamente a faixa de preço ideal.

Além disso, foi examinado o protocolo Peckshield Sorbetto Fragola. Isto cria inadvertidamente uma falsa confiança na energia dos bons contratos entre os compradores. Este incidente levanta mais uma vez a questão do papel das boas auditorias de contratos e se essas auditorias são realmente de boa qualidade ou apenas uma conversa para enganar os investidores?

Em 28 de junho, Peckshield apresentou a auditoria Sorbetto Fragola no GitHub. Mas, surpreendentemente, o relatório de auditoria, que deve ser muito cauteloso e detalhado, carece das primeiras páginas. Porém, ao revisar o código do contrato bom, os eventos encontraram seis erros de codificação. Quatro deles são rotulados como gravidade média, gravidade baixa e erro informativo.

O relatório afirma que cinco dos seis erros foram corrigidos, com o erro mortal comum “Cálculo de quantidade incorreto em burnLiquidityShare ()” sendo “Confirmado”. Os erros não estão relacionados a erros associados ao faturamento.

Durante sua análise dos eventos, Peckshield disse que questões relacionadas ao faturamento criaram inadvertidamente uma oportunidade para os hackers agirem. E como os invasores repetem o processo em sete piscinas diferentes, seus lucros são multiplicados.

Mudit Gupta, desenvolvedor principal do DeFi “Blue Chip” SushiSwap, também falou sobre esta história no Twitter:

Explorando o Popsicle Finance, os hackers retiraram cerca de US$ 25 milhões. O hack foi avançado, mas o bug foi fácil. Hash TX: https://t.co/CqyVvCq5I7

Basicamente, o picolé não troca a dívida de recompensa quando os clientes trocam suas ações. Isso expõe várias explorações, uma das quais foi usada aqui pic.twitter.com/shdYdyemD9

– Mudit Gupta (@Mudit__Gupta) 4 de agosto de 2021

“O Popsicle Finance foi hackeado, os hackers roubaram cerca de US$ 25 milhões. O hack é complexo, mas a vulnerabilidade é simples. Basicamente, a Popsicle não troca a dívida de bônus quando os clientes trocam suas ações. Isso mostra que os hackers têm muitas explorações, uma das quais foi usada aqui. ”

Segundo dados da Peckshield, o hacker criou três contratos diferentes, como A, B e C. A partir daí, ele aproveitou uma brecha no cálculo das taxas de transação.

“O motivo do hack foi que a taxa não foi calculada corretamente ao transferir os tokens LP. Especificamente, o invasor cria três contratos A, B e C e os repete na ordem: Depósito no Contrato A – Transferido de A, tokens LP para o Contrato B – Use o mecanismo de cobrança de taxas do Sorbetto para extrair uma quantia e enviar e depois manter o dinheiro de B para contratar C – continuar usando sorbetto e depois transferir dinheiro de C para o contrato A – continuar esse ciclo com 8 pools”, força de trabalho dito.

Depois de atacar oito piscinas, o hacker arrecadou um total de cerca de US$ 8 milhões. Esse dinheiro foi logo transferido para a plataforma Tornado Cash para eliminação. Posteriormente, a Popsicle garantiu aos clientes que o bom contrato da plataforma não foi afetado. Ao mesmo tempo, os clientes das pools ETH/AXS, ETH/SLP, ETH/LINK,… exigem que a liquidez seja retirada em breve.

CipherTrace alerta sobre fraude recorde de DeFi

A agência de análise CipherTrace relata que, embora a criptomoeda diminua em 2021, a fraude DeFi atingirá níveis de arquivo. Nos quatro meses de janeiro a abril deste ano, os criptocriminosos roubaram US$ 4 milhões, dos quais 12% (US$ 432 milhões) estavam associados ao DeFi.

Dave Jevans, CEO da CipherTrace, disse que à medida que o DeFi se torna maior, os criminosos continuarão a agir:

“… Os invasores estão sempre em busca de maneiras de usar o hype para atrair pessoas para golpes. Os hackers procurarão iniciativas que foram iniciadas sem testes de segurança satisfatórios e explorarão vulnerabilidades codificadas em contratos inteligentes. “

Peckshield concluiu que Sorbetto Fragola tem uma base de código bem organizada e os problemas foram corrigidos ou confirmados. Este também é um pequeno conforto para perder compradores.

manga

penalidades Notícias AZCoin

Siga o canal do Youtube | Inscreva-se no canal do Telegram | Siga a página do Facebook