Децентрализованный маркет-мейкер Popsicle Finance подвергся атаке на 20 миллионов долларов из-за «простой» ошибки. Это добавило к списку из более чем 20 взломов DeFi, которые произошли до сих пор в этом году, в результате чего общий улов злоумышленников превысил 310 миллионов долларов.
«Нам известно о текущей уязвимости Fragola. Мы расследуем и опубликуем вскрытие. Другие контракты Popsicle Finance не использовались. Если у вас все еще есть средства в ETH / AXS, ETH / SLP, ETH / LINK, пожалуйста, удалите их немедленно», — написала в Твиттере Popsicle Finance. (Fragola — это инструмент, который обеспечивает ликвидность и помогает поставщикам ликвидности максимизировать прибыль от торговых комиссий.)
По сообщениям, злоумышленник использовал флэш-кредиты — где токены заимствованы, используются для некоторых функций и погашаются в рамках одной транзакции — чтобы занять около 30 миллионов долларов в виде привязки (USDT) и 32 миллиона долларов в эфире (ETH). Это было использовано для максимального усиления воздействия атаки.
По словам разработчика ядра SushiSwap, Мудита Гупты, «взлом был сложным, но ошибка была простой». Он объяснил, что при определенных условиях контракт позволял любому получать вознаграждение из гораздо более давних времен, чем они должны были иметь. Это также позволяет злоумышленнику многократно требовать вознаграждение за одни и те же акции.
Гупта добавил, что это довольно распространенная ошибка, которая использовалась примерно в десятке других протоколов до этой атаки.
