Popsicle Finance (ICE), мультисетевая платформа для получения дохода, была взломана, и ее общая сумма, по оценкам, составила почти 25 миллионов долларов. Предварительный анализ показывает, что злоумышленники воспользовались рядом уязвимостей в механизме биллинга и при этом похитили часть токенов.

Стоит отметить, что этот протокол был предварительно рассмотрен Пекшилдом. Это вызывает вопросы о ходе и качестве аудиторских инициатив и их влиянии на покупателей, которые делают инвестиции наличными в пуле ликвидности.

После краха цена ICE упала до рекордно низкого уровня в 0.9 доллара, а затем на момент публикации выросла более чем на 30% до 1.42 доллара, что свидетельствует о том, что многие люди все еще очень уверены в финансировании Popsicle.

ICE/USD 4-часовой график | Источник: ТрейдингВью

Проверено еще под нападением

Хакеры вывели $25 млн Ethereum из журнала управления ликвидностью Sorbetto Fragola. Это протокол, разработанный Popsicle Finance для оптимизации ценового диапазона Uniswap V3. Вместо того, чтобы сразу выбирать оптимальный диапазон ликвидности при предоставлении ликвидности на Uniswap V3, клиентам нужно только внести деньги в пул Sorbetto, и этот журнал затем автоматически определит оптимальный диапазон цен.

Кроме того, был изучен протокол Peckshield Sorbetto Fragola. Это непреднамеренно создает среди покупателей ложную уверенность в силе хороших контрактов. Этот инцидент еще раз поднимает вопрос о функции хороших проверок контрактов и о том, являются ли эти проверки действительно качественными или просто диалогом с целью обмана покупателей?

28 июня Пекшилд представил на GitHub аудит Sorbetto Fragola. Но, что удивительно, аудиторскому отчету, который должен быть очень осторожным и подробным, не хватает первых страниц. Однако при проверке исправного кода контракта события обнаружили шесть ошибок кодирования. Четырем из них присвоены категории средней серьезности, низкой серьезности и информационной ошибки.

В отчете указано, что 5 из 6 ошибок исправлены, при этом распространенная фатальная ошибка «Неправильный расчет количества в burnLiquidityShare()» имеет статус «Подтверждена». Ошибки не относятся к ошибкам, связанным с выставлением счетов.

В своем обзоре событий Пекшилд упомянул, что вопросы, связанные с выставлением счетов, непреднамеренно создали возможность для хакеров принять меры. А поскольку злоумышленники повторяют ход действий в семи разных бассейнах, их доходы многократно увеличиваются.

Мудит Гупта, основной разработчик DeFi «Blue Chip» SushiSwap, дополнительно рассказал об этой истории в Твиттере:

Воспользовавшись Popsicle Finance, хакеры вывели ~$25 миллионов. Взлом был продвинутым, однако ошибка была простой. ТХ-хеш: https://t.co/CqyVvCq5I7

По сути, Popsicle не меняет долг по вознаграждению, когда клиенты меняют свои акции. Это раскрывает ряд эксплойтов, один из которых наверняка использовался прямо здесь. pic.twitter.com/shdYdyemD9

– Мудит Гупта (@Mudit__Gupta) 4 августа 2021

«Popsicle Finance была взломана, хакеры украли около 25 миллионов долларов. Взлом продвинутый, однако уязвимость проста. По сути, Popsicle не меняет бонусный долг, когда клиенты меняют свои акции. Это показывает, что у хакеров есть много эксплойтов, один из которых, безусловно, был использован здесь. »

По данным Peckshield, хакер создал три совершенно разных контракта, например A, B и C. Отсюда он воспользовался лазейкой в ​​расчете комиссий за транзакции.

«Причина взлома заключалась в том, что комиссия при переводе токенов LP была рассчитана неправильно. В частности, злоумышленник создает три контракта A, B и C и повторяет их в следующем порядке: Депозит по контракту A – перевод из A, токены LP в контракт B – использование механизма сбора комиссий Sorbetto для извлечения суммы и отправки, а затем сохранения денег из B. для заключения контракта C – продолжайте использовать сорбетто, а затем переводите деньги из C в контракт A – продолжите этот цикл с 8 пулами», рабочая сила — сказал.

После атаки на 8 бассейнов хакер собрал в общей сложности около 25 миллионов долларов. Эти деньги вскоре были переведены на платформу Tornado Cash для утилизации. Позже Popsicle заверил клиентов, что хороший контракт платформы не пострадал. В то же время клиенты пулов ETH/AXS, ETH/SLP, ETH/LINK… требуют вывода ликвидности в ближайшее время.

CipherTrace предупреждает о рекордном мошенничестве с DeFi

Аналитическое агентство CipherTrace отмечает, что, хотя в 2021 году криптовалюта снизится, мошенничество с DeFi затронет диапазоны файлов. За 4 месяца с января по апрель этого 12 месяцев криптопреступники украли $432 млн, из которых 56% ($240 млн) были связаны с DeFi.

Дэйв Джеванс, генеральный директор CipherTrace, отметил, что по мере того, как DeFi станет больше, преступники начнут вести себя так:

«… Злоумышленники постоянно ищут способы использовать шумиху, чтобы заманить людей в мошеннические действия. Хакеры будут искать проекты, начатые без удовлетворительных проверок безопасности, и использовать уязвимости, закодированные в хороших контрактах. «

Пекшилд пришел к выводу, что Sorbetto Fragola имеет хорошо организованную кодовую базу, и все пункты закреплены или подтверждены. Это также небольшое утешение для потерявших покупателей.

манго

штрафов Новости AZCoin

Следите за каналом Youtube | Подписывайтесь на телеграм-канал | Следите за страницей Facebook