Децентрализованный маркет-мейкер Popsicle Finance подвергся атаке из-за «простой» ошибки, которая лишила протокол $20 млн. Таким образом, число взломов defi превысило 20 случаев, которые произошли в этом году, в результате чего общий улов киберпреступников превысил $310 млн.
Нам известно о текущей уязвимости Fragola. Мы расследуем произошедшее и опубликуем результаты. Другие контракты Popsicle Finance не взломаны.
Если у вас ещё есть средства в ETH/AXS, ETH/SLP, ETH/link или любых EURt Pool, пожалуйста, немедленно переместите их , – написала в Твиттере команда Popsicle Finance.
1/
We are aware of the current exploit to Fragola. We will investigate and publish post mortem.
The other Popsicle Finance's contracts have not been exploited.
If you still have funds in the ETH/AXS, ETH/SLP, ETH/LINK or any EURt Pool please remove them immediately.
— Popsicle Finance (@PopsicleFinance) August 4, 2021
Fragola – это инструмент, который обеспечивает ликвидность и помогает поставщикам ликвидности максимизировать прибыль от торговых комиссий.
Сообщается, что злоумышленник использовал флэш-кредиты (в которых заимствованные токены используются для определённых функций и погашаются в рамках одной транзакции), чтобы занять около $30 млн в виде Tether (usdt) и $32 млн в эфире (ETH).
2/5
The attacker:
1. Deploys 3 contracts
2. Flashloans 30m USDT + 13k ETH + etc from @AaveAave
3. Calls deposit, transfer, collectFees(…), and withdraw pic.twitter.com/juGYv8Gkg0
— kendrick (@kendrick_tn) August 4, 2021
По словам разработчика ядра SushiSwap Мудита Гупты, «взлом был сложным, но ошибка была простой». Он объяснил, что при определённых условиях контракт позволил злоумышленнику многократно требовать вознаграждение за одни и те же средства.
Гупта добавил, что это довольно распространённая ошибка, которая присутствовала в десятке других протоколов.