DeFi Popsicle Finance projesi Peckshield tarafından denetlenmesine rağmen neden hala saldırıya uğruyor?
Çok zincirli bir gelir platformu olan Popsicle Finance (ICE), tahmini olarak neredeyse 25 milyon dolarlık bir kayıpla saldırıya uğradı. Ön analiz, saldırganların faturalandırma mekanizmasındaki bir dizi güvenlik açığından yararlandığını ve bu sırada bazı tokenleri sızdırdığını gösteriyor.
Bu protokolün önceden Peckshield tarafından incelendiğini belirtmekte fayda var. Bu durum, denetim girişimlerinin gidişatı ve kalitesi ile bunların likidite havuzuna nakit yatırım yapan alıcılar üzerindeki etkisine ilişkin soruları gündeme getiriyor.
Çöküşün ardından ICE fiyatı tüm zamanların en düşük seviyesi olan 0.9 dolara geriledi ve haberin yayınlandığı sırada %30'un üzerinde bir toparlanmayla 1.42 dolara yükseldi, bu da birçok kişinin Popsicle finansmanı konusunda hala oldukça emin olduğunu gösteriyor.
ICE / USD 4 saatlik grafik | Kaynak: TradingView
Hala saldırı altındayken kontrol edildi
Bilgisayar korsanları, Sorbetto Fragola likidite yönetim günlüğünden 25 milyon dolarlık Ethereum'u çekti. Bu, Uniswap V3 fiyat değişimini optimize etmek için Popsicle Finance tarafından geliştirilen bir protokoldür. Uniswap V3'te likidite sağlama işlemine katılırken optimum likidite aralığını hemen seçmek yerine, müşterilerin yalnızca Sorbetto havuzuna nakit yatırması gerekir, bu kayıt daha sonra robotik olarak optimum fiyat aralığını bulacaktır.
Ayrıca Peckshield Sorbetto Fragola protokolü de incelendi. Bu, istemeden de olsa alıcılar arasında iyi sözleşmelerin enerjisine dair yanlış bir güven yaratır. Bu olay, iyi sözleşme denetimlerinin işlevi ve bu denetimlerin gerçekten kaliteli olup olmadığı, yoksa yalnızca alıcıları kandırmaya yönelik bir diyalog mu olduğu sorusunu bir kez daha gündeme getiriyor.
28 Haziran'da Peckshield, GitHub'da Sorbetto Fragola denetimini tanıttı. Ancak şaşırtıcı derecede dikkatli ve ayrıntılı olması gereken denetim raporunun ilk sayfaları eksik. Ancak, iyi sözleşme kodunu incelerken olaylar altı kodlama hatası buldu. Bunlardan dördü orta önem derecesi, düşük önem derecesi ve bilgi hatası olarak etiketlenmiştir.
Rapor, 5 hatadan 6'inin düzeltildiğini ve yaygın ölümcül hata olan "burnLiquidityShare ()'de hatalı miktar hesaplaması"nın "Onaylandı" olduğunu belirtiyor. Hatalar faturalandırmayla ilgili hatalarla ilgili değildir.
Olaylara genel bakış sırasında Peckshield, faturalandırmayla ilgili noktaların yanlışlıkla bilgisayar korsanlarına harekete geçme şansı yarattığından bahsetti. Saldırganlar aynı rotayı yedi farklı yüzme havuzunda tekrarladıkları için gelirleri katlanıyor.
DeFi "Blue Chip" SushiSwap'in çekirdek geliştiricilerinden Mudit Gupta ayrıca Twitter'da bu hikayeden bahsetti:
Popsicle Finansından Yararlanan Hackerlar ~ 25 Milyon Dolar Çekti. Hack ileri düzeydeydi ancak hata kolaydı. TX karması: https://t.co/CqyVvCq5I7
Temel olarak Popsicle, müşteriler hisselerini değiştirdiğinde ödül borcunu değiştirmez. Bu, kesinlikle bir tanesi burada kullanılmış olan bir dizi istismarı açığa çıkarıyor pic.twitter.com/shdYdyemD9
– Mudit Gupta (@Mudit__Gupta) Ağustos 4, 2021
“Popsicle Finance hacklendi, hackerlar yaklaşık 25 milyon doları ele geçirdi. Hack gelişmiş ancak güvenlik açığı kolaydır. Temel olarak Popsicle, müşteriler hisselerini değiştirdiğinde bonus borcunu değiştirmez. Bu, bilgisayar korsanlarının pek çok istismara sahip olduğunu gösteriyor ve bunlardan biri kesinlikle burada kullanılmış. ”
Peckshield'ın verilerine göre bilgisayar korsanı, A, B ve C gibi tamamen farklı üç sözleşme oluşturdu. Buradan işlem ücretlerinin hesaplanmasındaki bir boşluktan yararlandı.
“Hakelenmenin nedeni, LP tokenlarını aktarırken ücretin doğru hesaplanmamasıydı. Saldırgan özellikle A, B ve C olmak üzere üç sözleşme oluşturur ve bunları sırayla tekrarlar: A Sözleşmesine Para Yatırma – A'dan, LP tokenleri B Sözleşmesine aktarılır – Bir miktar almak ve parayı göndermek ve ardından B'den tutmak için Sorbetto'nun ücret toplama mekanizmasını kullanın. C sözleşmesine – sorbetto kullanmaya devam edin ve ardından C'den A sözleşmesine para aktarın – bu döngüyü 8 havuzla devam ettirin”, iş gücü şuraya.
Hacker, 8 yüzme havuzuna saldırdıktan sonra toplamda yaklaşık 25 milyon dolar topladı. Bu nakit kısa sürede imha edilmek üzere Tornado Cash platformuna aktarıldı. Popsicle daha sonra müşterilere platformun iyi sözleşmesinin etkilenmediğine dair güvence verdi. Aynı zamanda ETH / AXS, ETH / SLP, ETH / LINK, … yüzme havuzu müşterileri de likiditenin kısa süre içinde geri çekilmesini talep ediyor.
CipherTrace rekor kıran DeFi dolandırıcılığına karşı uyardı
Analitik ajansı CipherTrace, 2021'de kripto para biriminin düşüşe geçeceğini ancak DeFi dolandırıcılığının dosya aralıklarını vuracağını deneyimliyor. Bu 4 ayın Ocak ayından Nisan ayına kadar olan 12 ayda kripto suçlular 432 milyon dolar çaldı ve bunun %56'sı (240 milyon dolar) DeFi ile ilişkilendirildi.
CipherTrace CEO'su Dave Jevans, DeFi büyüdükçe suçluların da harekete geçeceğini belirtti:
“… Saldırganlar her zaman bireyleri dolandırıcılığa çekmek için abartılı reklamlardan yararlanmanın yollarını arıyorlar. Bilgisayar korsanları, tatmin edici güvenlik sınavları olmadan başlatılan girişimleri arayacak ve iyi sözleşmelerde kodlanan güvenlik açıklarından yararlanacak. “
Peckshield, Sorbetto Fragola'nın iyi organize edilmiş bir kod tabanına sahip olduğu ve noktaların sabitlendiği veya onaylandığı sonucuna vardı. Bu aynı zamanda alıcıları düşürmek için küçük bir rahatlıktır.
Mango
cezalar AZCoin Haberleri
Youtube Kanalını Takip Edin | Telegram kanalına abone olun | Facebook sayfasını takip edin