Платформа доходности Multichain Popsicle Finance ($ ICE) сегодня подверглась серьезной атаке, что привело к убыткам в размере 21 миллиона долларов.
В первоначальных сообщениях утверждается, что злоумышленники воспользовались недостатком в механизме учета комиссий, опустошив при этом несколько токенов.
Более того, данный протокол, Сорбетто Фрагола, был проверен компанией Peckshield. Возможно, это дает инвесторам ложное чувство уверенности в надежности смарт-контракта.
«Sorbetto Fragola позволяет пользователям предоставлять средства, которые затем используются для обеспечения ликвидности (LP) на Uniswap V3, при этом стратегия Popsicle гарантирует, что средства никогда не выходят за пределы диапазона LP».
Этот последний инцидент также ставит под сомнение цель аудитов смарт-контрактов и есть ли у них вообще какие-либо достоинства.
Что случилось с Popsicle Finance?
Компания Peckshield опубликовала свой аудит Sorbetto Fragola на GitHub 28 июня. Но, как ни странно, в этом аудиторском отчете не хватает страниц с начала отчета.
Тем не менее, их проверка кода смарт-контракта выявила шесть ошибок кодирования, четыре из которых были классифицированы как средняя серьезность, одна низкая серьезность и одна информационная.
В отчете говорится, что пять из шести ошибок были исправлены, причем проблема средней степени серьезности «Неправильный расчет суммы в burnLiquidityShare ()» была «Подтверждена».
В отмеченных ошибках не упоминались недостатки, связанные с расчетом комиссионных.
После вскрытия произошедшего Пекшилд сказал, что проблемы, связанные с надлежащим расчетом комиссионных, позволили хакеру собирать вознаграждения, на которые он не имел права. Повторение этого процесса с семью другими пулами увеличило их прибыль.
"Взлом произошел из-за отсутствия надлежащего учета комиссии при передаче токенов LP. В частности, злоумышленник создает три контракта A, B и C и повторяет их в последовательностях A.deposit (), A.transfer (B), B.collectFees (), B.transfer (C), C.collectFees () для восьми пулов ".
Конечным результатом стал общий убыток в размере 20,7 млн долларов, состоящий из 2,6 тыс. WETH, 5,4 млн долл. США, 5 млн долл. США, 160 тыс. DAI, 10 тыс. UNI и 96 WBTC.
CipherTrace предупреждает, что мошенничество с DeFi находится на рекордном уровне
Компания CipherTrace, занимающаяся аналитикой блокчейнов, сообщает, что, хотя в 2021 году количество криптопреступлений снизится, уровень мошенничества DeFi находится на рекордном уровне.
За четыре месяца до апреля 2021 года криптопреступники украли 432 миллиона долларов, из которых 56%, или 240 миллионов долларов, были связаны с преступлениями, связанными с DeFi.
Генеральный директор CipherTrace Дэйв Джеванс сказал, что по мере роста DeFi злоумышленники будут продолжать использовать неадекватную безопасность смарт-контрактов.
«… Злоумышленники будут стремиться использовать шумиху, чтобы вовлечь людей в мошенничество, а хакеры будут искать проекты, которые были запущены без проведения надлежащего аудита безопасности, используя лазейки, закодированные в смарт-контрактах».
Пекшилд пришел к выводу, что у Сорбетто Фрагола была «четко организованная» кодовая база, и что выявленные проблемы были исправлены или подтверждены. Но это маленькое утешение для потерявших деньги инвесторов.
Источник
