Nền tảng lợi nhuận đa hướng Tài chính Popsicle ($ ICE) bị khai thác đáng kể ngày hôm nay, dẫn đến khoản lỗ 21 triệu đô la.
Các báo cáo ban đầu cho rằng những kẻ tấn công đã lợi dụng một lỗ hổng trong cơ chế hạch toán phí, rút sạch một số mã thông báo trong quá trình này.
Hơn nữa, giao thức được đề cập, Sorbetto Fragola, đã được kiểm toán bởi Peckshield. Có thể cho rằng tạo cho các nhà đầu tư một cảm giác tin tưởng sai lầm về tính mạnh mẽ của hợp đồng thông minh.
“Sorbetto Fragola cho phép người dùng cung cấp tiền, sau đó được sử dụng để cung cấp thanh khoản (LP) trên Uniswap V3, với chiến lược Popsicle đảm bảo rằng số tiền đó không bao giờ nằm ngoài phạm vi LP.”
Sự cố mới nhất này tiếp tục đặt ra câu hỏi về mục đích của việc kiểm tra hợp đồng thông minh và liệu chúng có bất kỳ lợi ích nào hay không.
Điều gì đã xảy ra với Popsicle Finance?
Peckshield đã công bố kiểm toán Sorbetto Fragola trên GitHub vào ngày 28 tháng 6. Nhưng kỳ lạ là báo cáo kiểm toán đó dường như bị thiếu các trang kể từ đầu báo cáo.
Tuy nhiên, việc xem xét mã hợp đồng thông minh của họ đã phát hiện ra sáu lỗi mã hóa, bốn trong số đó được phân loại là mức độ nghiêm trọng trung bình, một mức độ nghiêm trọng thấp và một lỗi mang tính thông tin.
Báo cáo cho biết 5 trong số 6 lỗi đã được khắc phục, với mức độ nghiêm trọng trung bình là “Tính toán số lượng không chính xác trong burnLiquidityShare ()” đang được “Xác nhận”.
Các lỗi được lưu ý không đề cập đến các sai sót liên quan đến kế toán phí.
Popsicle Finance bị khai thác, tin tặc rút ruột ~ 25 triệu đô la. Vụ hack rất phức tạp nhưng lỗi rất đơn giản. TX Hash: https://t.co/CqyVvCq5I7
Về cơ bản, Popsicle không chuyển khoản nợ thưởng khi người dùng chuyển nhượng cổ phần của họ. Điều này cho thấy nhiều cách khai thác, một trong số đó đã được sử dụng ở đây 🧵👇 pic.twitter.com/shdYdyemD9
– Mudit Gupta (@Mudit__Gupta) 4 tháng 8, 2021
Trong quá trình khám nghiệm tử thi về những gì đã xảy ra, Peckshield cho biết các vấn đề liên quan đến việc hạch toán phí hợp lý đã cho phép hacker thu thập phần thưởng mà họ không được hưởng. Lặp lại quá trình trên bảy nhóm khác sẽ nhân số tiền thu được của họ.
“Vụ hack là do thiếu tính toán phí thích hợp khi các token LP được chuyển. Cụ thể, kẻ tấn công tạo ra ba hợp đồng A, B và C và lặp lại theo trình tự A.deposit (), A.transfer (B), B.collectFees (), B.transfer (C), C.collectFees () cho tám hồ bơi. “
Kết quả cuối cùng là mất toàn bộ 20,7 triệu đô la bao gồm 2,6 nghìn WETH, 5,4 triệu USDC, 5 triệu USDT, 160 nghìn DAI, 10 nghìn UNI và 96 WBTC.
CipherTrace cảnh báo rằng gian lận DeFi đang ở mức kỷ lục
Công ty phân tích chuỗi khối CipherTrace báo cáo rằng trong khi tội phạm tiền điện tử đang giảm dần vào năm 2021, gian lận DeFi đang ở mức kỷ lục.
Trong bốn tháng đến tháng 4 năm 2021, bọn tội phạm tiền điện tử đã đánh cắp 432 triệu đô la, với 56% trong số đó, tương đương 240 triệu đô la, đến từ tội phạm liên quan đến DeFi.
Giám đốc điều hành của CipherTrace, Dave Jevans cho biết khi DeFi lớn hơn, những kẻ xấu sẽ tiếp tục khai thác tính bảo mật hợp đồng thông minh không đầy đủ.
“… Những kẻ xấu sẽ tìm cách lợi dụng sự cường điệu để lôi kéo mọi người vào trò lừa đảo và tin tặc sẽ tìm kiếm các dự án đã khởi chạy mà không thực hiện kiểm tra bảo mật đầy đủ, khai thác các lỗ hổng được mã hóa trong các hợp đồng thông minh.”
Peckshield kết luận rằng Sorbetto Fragola có một cơ sở mã “được tổ chức rõ ràng” và các vấn đề được xác định đã được khắc phục hoặc xác nhận. Nhưng đây là niềm an ủi nho nhỏ cho những nhà đầu tư thua lỗ.
.
