La plataforma Popsicle Finance DeFi es la última víctima de delitos DeFi, ya que sufrió un exploit de préstamos flash por valor de 20 millones de dólares el miércoles.
Popsicle Finance, una plataforma de optimización de rendimiento de múltiples cadenas para proveedores de liquidez, anunció el miércoles 4 de agosto que su Sorbetto Fragola, un optimizador y piloto automático Uniswap V3 LP, fue pirateado y el atacante pudo salirse con la suya con $ 20,7 millones en fondos de usuarios.
1/
We are aware of the current exploit to Fragola. We will investigate and publish post mortem.
The other Popsicle Finance's contracts have not been exploited.
If you still have funds in the ETH/AXS, ETH/SLP, ETH/LINK or any EURt Pool please remove them immediately.
— Popsicle Finance (@PopsicleFinance) August 4, 2021
Según un informe post-mortem publicado el miércoles, este fue un ataque de préstamo rápido. El ataque afectó al grupo Sorbetto Fragola de Popsicle, un optimizador de LP de Uniswap V3. El informe describe el funcionamiento de este grupo como un procedimiento de cinco pasos.
- Cuando un usuario deposita fondos en el grupo de Sorbetto Fragola, los fondos se envían directamente a UniV3.
- «Las acciones de Popsicle Liquidity Provider (PLP) se entregan al usuario».
- «Este contrato incluye información sobre el usuario, cuánto puso y cuándo depositó».
- «El contrato verifica la posición del usuario y la cantidad de honorarios que ha ganado proporcionalmente al grupo total».
- «El contrato da las tarifas en función de los parámetros establecidos».
El atacante aprovechó el tercer paso, la función estatal.
Según el desarrollador de SushiSwap, Mudit Gupta, el ataque fue complejo, pero se debió a un simple error comúnmente conocido que debería haberse detectado. Cuando un usuario deposita fondos, el contrato de Fragola actualiza token0PerSharePaid y token1PerSharePaid en su cuenta para realizar un seguimiento de cuándo depositó los tokens. Esto permite que el contrato pague al usuario las tarifas del estado directo.
Según Mudit Gupta:
The bug in Popsicle is that these variables are not updated when the user transfers their share to a different address. The new address is eligible to claim rewards from day 0 rather than from when the user deposited their tokens. This is what the attacker did.
— Mudit Gupta (@Mudit__Gupta) August 4, 2021
El informe dice:
“El pirata informático hizo creer en el contrato que ganó tantos honorarios como el TVL total del grupo y, por lo tanto, tiene derecho a los 20,7 millones de dólares que había en el grupo. Este truco solo fue posible porque todo sucedió en una transacción (debido a flashloan)».
Según otra explicación de un usuario de Twitter, Kenrick, el pirata informático tomó un préstamo flash de $ 30 millones en Tether (USDT) y 13K ETH de Aave y luego depositó estos fondos en el grupo Popsicle Sorbetto Fragola. Al explotar el error, el autor afirma recompensas varias veces por las mismas acciones.
https://twitter.com/kendrick_tn/status/1422817286474407937
El atacante primero intercambió los fondos robados con ETH y luego los lavó con Tornado.Cash.
Si este artículo le pareció interesante, aquí puede encontrar más noticias sobre DeFi
