关键事实:
一位计算机安全专家在 Twitter 上描述了这个错误“简单”。
据专家称,对该平台的审计可能已经发现了问题。
DeFi 的平台 Popsicle Finance 是一家去中心化的做市商或“做市商”,遭遇黑客攻击,造成约 2070 万美元的损失。 犯罪分子利用代码中的漏洞向用户分配利润和奖励。 冰棒向黑客提供 100 万美元的奖励,以补充资金并“避免吓跑人们”。
据推特用户 Mudit Gupta 在该社交网络上的一个帖子中发表了一份非官方报告,“黑客很复杂,但漏洞很简单。” 根据这位安全和以太坊专家的说法 – 正如他的个人资料中所展示的那样 – 由于在用户在平台上存入代币时 Popsicle 使用的代码“token0PerSharePaid”中的更新,因此可以利用该漏洞。 此代码允许在为后续支付奖励而进行存款的那一刻在智能合约中注册。
Gupta 说,这段代码中的变量不会在用户将他们的收入(股票)带到另一个地址时更新。 这允许新地址从“第 0 天”开始领取奖励,而不是从用户存入其代币的那一刻开始。 推特用户说,黑客就是这样做的,窃取了 2070 万美元,占“Sorbetto Fragola 矿池的 85%”,Popsicle 在 Medium 上的一份出版物中详细说明。
在被盗的加密货币中,500万个Tether(USDT)和等量的USD Coin(USDC)脱颖而出,另外还有160,000个DAI(DAI)。 如果资金返还,平台向黑客提供的奖励将“以你选择的加密货币”支付。
另一方面,如果用户使用不同的帐户,此错误还允许用户继续转移收入并多次为他们申请奖励。 根据 Gupta 的说法,这是一个“相对简单但非常普遍”的错误。
DeFi Popsicle Finance 被黑的哈希片段。 资料来源:etherscan.io
最终,这位计算机科学家通过评测说 Popsicle Finance 的审计员(PeckShield 和 Certik)应该在他们的评测中发现这些问题来结束他的解释,尽管他承认“他们是人”并且可能会失败。 恶意交易的哈希值可以在 Etherscan 站点上找到。
DeFi 平台,一个反复出现的目标
提供去中心化金融服务的网站在 2020 年和 2021 年成为无数黑客攻击的受害者。今年,发生在此类平台上的最重要的攻击之一——与 Popsicle Finance 的攻击方式相同。这是PancakeSwap兔。 当时,正如 CriptoNoticias 报道的那样,被盗金额达到 4500 万美元。
然而,实施此类犯罪的方法并不总是与“纯粹而简单”的计算有关。 例如,几天前,美国证券交易委员会设法关闭了一家自称是去中心化金融服务提供商的公司的运营,尽管实际上它的唯一目的是通过回报欺骗其投资者和客户它们从未被生成。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
