Popsicle Finance (ICE), một nền tảng doanh thu đa chuỗi, vừa bị hack với tổng số tiền ước tính lên tới gần 25 triệu đô la. Phân tích sơ bộ cho thấy những kẻ tấn công đã khai thác một số lỗ hổng trong cơ chế thanh toán và lấy đi một số token trong quá trình đó.

Điều đáng lưu ý là giao thức này đã được Peckshield xem xét trước. Điều này đặt ra câu hỏi về tiến trình và chất lượng của các sáng kiến ​​kiểm toán cũng như ảnh hưởng của chúng đối với những người mua đầu tư bằng tiền mặt vào nhóm thanh khoản.

Sau vụ tai nạn, giá ICE đã giảm xuống mức thấp nhất mọi thời đại là 0.9 USD trước khi phục hồi hơn 30% lên 1.42 USD vào thời điểm viết bài, cho thấy nhiều người vẫn rất yên tâm về tài chính của Popsicle.

Biểu đồ ICE / USD 4 giờ | Nguồn: TradingView

Đã kiểm tra vẫn bị tấn công

Tin tặc đã rút 25 triệu USD Ethereum từ nhật ký quản lý thanh khoản Sorbetto Fragola. Đây là một giao thức được Popsicle Finance phát triển để tối ưu hóa phạm vi giá Uniswap V3. Thay vì phải ngay lập tức chọn phạm vi thanh khoản tối ưu khi tham gia cung cấp thanh khoản trên Uniswap V3, người dùng chỉ cần gửi tiền vào nhóm Sorbetto, nhật ký này sau đó sẽ tự động tìm ra phạm vi giá tối ưu.

Ngoài ra, giao thức Peckshield Sorbetto Fragola đã được kiểm tra. Điều này vô tình tạo ra niềm tin sai lầm về sức mạnh của những hợp đồng tốt giữa người mua. Sự việc này một lần nữa đặt ra câu hỏi về chức năng của các cuộc kiểm toán hợp đồng tốt và liệu những cuộc kiểm toán này có thực sự chất lượng tốt hay chỉ là lời thoại nhằm đánh lừa người mua?

Vào ngày 28 tháng XNUMX, Peckshield đã giới thiệu cuộc kiểm tra Sorbetto Fragola trên GitHub. Nhưng đáng ngạc nhiên là báo cáo kiểm toán vốn phải rất thận trọng và chi tiết lại thiếu những trang đầu tiên. Tuy nhiên, khi xem xét mã hợp đồng tốt, các sự kiện đã phát hiện ra XNUMX lỗi mã hóa. Bốn trong số đó được dán nhãn là mức độ nghiêm trọng trung bình, mức độ nghiêm trọng thấp và lỗi thông tin.

Báo cáo cho biết rằng 5 trong số 6 lỗi đã được khắc phục, trong đó lỗi chết người phổ biến “Tính toán số lượng không chính xác trong burnLiquidityShare ()” là “Đã xác nhận”. Lỗi không liên quan đến lỗi liên quan đến thanh toán.

Trong bài đánh giá về các sự kiện của mình, Peckshield cho biết các vấn đề liên quan đến thanh toán đã vô tình tạo cơ hội cho tin tặc hành động. Và vì những kẻ tấn công lặp lại quá trình này trên bảy bể bơi khác nhau nên doanh thu của chúng tăng lên gấp bội.

Mudit Gupta, nhà phát triển cốt lõi của DeFi “Blue Chip” SushiSwap, cũng nói về câu chuyện này trên Twitter:

Lợi dụng Popsicle Finance, Hacker rút ~25 triệu USD. Bản hack đã được nâng cao, tuy nhiên lỗi rất dễ xảy ra. Băm TX: https://t.co/CqyVvCq5I7

Về cơ bản, Popsicle không chuyển nợ thưởng khi khách hàng chuyển đổi cổ phiếu của họ. Điều này cho thấy một số cách khai thác, chắc chắn một trong số đó đã được sử dụng ngay tại đây pic.twitter.com/shdYdyemD9

– Mudit Gupta (@Mudit__Gupta) Tháng Tám 4, 2021

“Popsicle Finance bị hack, hacker đã đánh cắp khoảng 25 triệu USD. Việc hack là nâng cao, tuy nhiên lỗ hổng rất dễ xảy ra. Về cơ bản, Popsicle không chuyển nợ thưởng khi khách hàng chuyển đổi cổ phiếu của họ. Điều này cho thấy tin tặc có nhiều cách khai thác, chắc chắn một trong số đó đã được sử dụng ở đây. ”

Theo dữ liệu từ Peckshield, hacker đã tạo ra ba hợp đồng hoàn toàn khác nhau, ví dụ A, B và C. Từ đó, hắn lợi dụng sơ hở trong việc tính phí giao dịch.

“Lý do xảy ra vụ hack là do phí không được tính chính xác khi chuyển token LP. Cụ thể, kẻ tấn công tạo 8 hợp đồng A, B, C và lặp lại theo thứ tự: Gửi tiền vào Hợp đồng A – Chuyển từ A, LP token sang Hợp đồng B – Sử dụng cơ chế thu phí của Sorbetto để trích một khoản và gửi sau đó giữ tiền từ B ký hợp đồng C – tiếp tục sử dụng sorbetto và sau đó chuyển tiền từ C sang hợp đồng A – tiếp tục vòng lặp này với XNUMX pool ”, lực lượng lao động nói.

Sau khi tấn công 8 bể bơi, hacker đã huy động được tổng cộng khoảng 25 triệu USD. Số tiền mặt đó đã nhanh chóng được chuyển sang nền tảng Tornado Cash để xử lý. Popsicle sau đó đảm bảo với khách hàng rằng hợp đồng tốt của nền tảng này không bị ảnh hưởng. Đồng thời, khách hàng của các nhóm ETH/AXS, ETH/SLP, ETH/LINK,… yêu cầu rút thanh khoản trong thời gian ngắn.

CipherTrace cảnh báo gian lận DeFi kỷ lục

Cơ quan phân tích CipherTrace báo cáo rằng trong khi tiền điện tử sẽ giảm vào năm 2021, gian lận DeFi sẽ đạt mức kỷ lục. Trong 4 tháng từ tháng 12 đến tháng 432 năm nay, tội phạm tiền điện tử đã đánh cắp 56 triệu USD, trong đó 240% (XNUMX triệu USD) có liên quan đến DeFi.

Dave Jevans, Giám đốc điều hành của CipherTrace, đã đề cập rằng khi DeFi ngày càng lớn mạnh, tội phạm sẽ tiếp tục hành động:

“… Những kẻ tấn công luôn tìm kiếm các phương pháp lợi dụng sự cường điệu để dụ các cá nhân lừa đảo. Tin tặc sẽ tìm kiếm các sáng kiến ​​​​được bắt đầu mà không có các bài kiểm tra bảo mật thỏa đáng và khai thác các lỗ hổng được mã hóa trong các hợp đồng thông minh. “

Peckshield kết luận rằng Sorbetto Fragola có cơ sở mã được tổ chức tốt và các điểm đã được cố định hoặc xác nhận. Đây cũng là một niềm an ủi nhỏ cho người mua.

xoài

hình phạt Tin tức AZCoin

Theo dõi kênh Youtube | Đăng ký kênh telegram | Theo dõi trang Facebook