cryptocurrency.tech
Сервис для доходного фермерства на нескольких блокчейнах Popsicle Finance потерял $25 млн в результате хакерской атаки. Внимание на это обратил исследователь проблем безопасности Мудит Гупта.
Popsicle Finance exploited, hacker drained ~$25m. The hack was complex but the bug was simple. TX Hash: https://t.co/CqyVvCq5I7
Basically, Popsicle doesn't transfer the reward debt when users transfer their shares. This exposes multiple exploits, one of which was used here 🧵👇 pic.twitter.com/shdYdyemD9
— Mudit Gupta (@Mudit__Gupta) August 4, 2021
Гупта сообщил, что ранее обнаружил похожий баг в другом протоколе, а в целом он использовался уже около десятка раз.
Последние проблемы пользователей DeFi-проектов связаны с недавним обновлением децентрализованной биржи Uniswap, в которой поставщики ликвидности получили возможность настраивать параметры. Например, для увеличения заработков можно определить ценовой диапазон, в котором будет предоставляться ликвидность. В результате поставщики ликвидности мотивированы настраивать диапазон максимально точно и вынуждены вносить изменения при выходе курса за его пределы.
Один из продуктов Popsicle Finance – Sorbetto Fragola – помогает решить эту проблему, за небольшую комиссию размещая активы в наиболее доходных пулах. В нем и обнаружился баг, из-за которого пользователи понесли крупные убытки. Один из них сообщил, что «потерял не все, но шестизначную сумму, и это болезненно». Другой написал, что лишился 40% портфеля.
Собственный токен Popsicle Finance на фоне этого объявления снижается на 30% в момент публикации. Разработчики призывают пользователей вывести ликвидность из пулов ETH/AXS, ETH/SLP, ETH/LINK и EURt.