La plataforma de rendimiento de múltiples cadenas Popsicle Finance (ICE) sufrió un exploit significativo hoy, lo que resultó en una pérdida de $21 millones.
Los informes iniciales afirman que los atacantes se aprovecharon de una falla en el mecanismo de contabilidad de tarifas, agotando varios tokens en el proceso.
Además, el protocolo en cuestión, Sorbetto Fragola, fue auditado por Peckshield. Podría decirse que brinda a los inversores una falsa sensación de confianza en la solidez del contrato inteligente.
“Sorbetto Fragola permite a los usuarios proporcionar fondos, que luego se utilizan para proporcionar liquidez (LP) en Uniswap V3, con la estrategia de Popsicle asegurándose de que los fondos nunca estén fuera del rango de LP”.
Este último incidente cuestiona aún más el propósito de las auditorías de contratos inteligentes y si tienen algún mérito.
¿Qué pasó con Popsicle Finance?
Peckshield publicó su auditoría de Sorbetto Fragola en GitHub el 28 de junio. Pero, extrañamente, ese informe de auditoría parece faltar páginas desde el inicio del informe.
No obstante, su revisión del código de contrato inteligente reveló seis errores de codificación, cuatro de los cuales se clasificaron como de gravedad media, uno de gravedad baja y uno informativo.
El informe indica que cinco de los seis errores fueron corregidos, con el problema de gravedad media de “Cálculo de cantidad incorrecta en burnLiquidityShare ()” siendo “Confirmado”.
Los errores notados no mencionaron fallas relacionadas con la contabilidad de tarifas.
En la autopsia de lo que sucedió, Peckshield dijo que los problemas relacionados con la contabilidad de tarifas adecuada permitieron al pirata informático cobrar recompensas a las que no tenían derecho. La repetición del proceso en otros siete grupos multiplicó sus ganancias.
“El truco se debió a la falta de una contabilidad de tarifas adecuada cuando se transfieren los tokens LP. Específicamente, el atacante crea tres contratos A, B y C y repite en las secuencias de A.deposit (), A.transfer (B), B.collectFees (), B.transfer (C), C.collectFees () para ocho piscinas”.
El resultado final fue una pérdida total de $20.7 millones que consta de 2.6K WETH, 5.4M USDC, 5M USDT, 160K DAI, 10K UNI y 96 WBTC.
CipherTrace advierte que los fraudes en DeFi están en niveles récord
La firma de análisis de blockchain CipherTrace informa que, si bien el crimen criptográfico está disminuyendo en 2021, el fraude en DeFi se encuentra en niveles récord.
Durante los cuatro meses hasta abril de 2021, los delincuentes criptográficos robaron $432 millones, de los cuales el 56%, o $240 millones, provinieron de delitos relacionados con DeFi.
El CEO de CipherTrace, Dave Jevans, dijo que a medida que DeFi se haga más grande, los malos actores continuarán explotando la seguridad inadecuada de los contratos inteligentes.
“los malos actores buscarán aprovechar el bombo publicitario para atraer a las personas a estafas y los piratas informáticos buscarán proyectos que se hayan lanzado sin realizar las auditorías de seguridad adecuadas, explotando las lagunas codificadas en los contratos inteligentes”.
Peckshield concluyó que Sorbetto Fragola tenía una base de código “claramente organizada” y que los problemas identificados fueron corregidos o confirmados. Pero esto es un pequeño consuelo para los inversores que perdieron dinero.
