Trang chủ Tạp chí Tin tức Scam -Hack Vì sao dự án DeFi Popsicle Finance vẫn bị tấn công dù...

Vì sao dự án DeFi Popsicle Finance vẫn bị tấn công dù đã được kiểm toán bởi Peckshield?

Popsicle Finance (ICE), một nền tảng lợi nhuận đa chuỗi (multi-chain) vừa bị tấn công, với tổng thiệt hại ước tính gần $ 25 triệu. Nghiên cứu sơ bộ cho thấy những kẻ tấn công đã lợi dụng vài lỗ hổng trong cơ chế hạch toán phí và rút ​​sạch một số token trong quá trình này.

Điều đáng chú ý là trước đó giao thức này đã được Peckshield kiểm toán. Điều này làm dấy lên nghi vấn về quy trình và chất lượng kiểm toán các dự án cũng như ảnh hưởng của nó đối với các nhà đầu tư bỏ tiền vào pool thanh khoản.

Sau sự cố, giá ICE chìm xuống mức thấp nhất từ trước đến nay là $ 0.9 trước khi phục hồi hơn 30% lên mức $1.42 tại thời điểm viết bài, cho thấy nhiều người vẫn rất tin tưởng vào Popsicle Finance.

vi-sao-du-an-defi-popsicle-finance-van-bi-tan-cong-du-da-duoc-kiem-toan-boi-peckshield[1]

Biểu đồ 4h ICE/USD | Nguồn: TradingView

Được kiểm toán vẫn bị tấn công

Các hackers đã rút $ 25 triệu Ethereum từ giao thức quản lý thanh khoản Sorbetto Fragola. Đây là giao thức được phát triển bởi Popsicle Finance nhằm tối ưu hoá khung giá trên Uniswap V3. Thay vì phải trực tiếp lựa chọn vùng thanh khoản tối ưu khi tham gia cung cấp thanh khoản trên Uniswap V3, người dùng chỉ cần đưa tiền vào pool của Sorbetto, giao thức này sẽ tự tìm ra vùng giá tối ưu sau đó.

Hơn nữa, giao thức Sorbetto Fragola đã được kiểm toán bởi Peckshield. Điều này vô tình đang tạo ra cảm giác tin tưởng sai lầm vào sức mạnh của hợp đồng thông minh cho các nhà đầu tư. Sự cố này lại tiếp tục đặt ra câu hỏi về mục đích của việc kiểm tra hợp đồng thông minh, và liệu những đợt kiểm toán này có thực sự chất lượng hay chỉ là nói suông để qua mặt nhà đầu tư?

Vào ngày 28 tháng 6, Peckshield đã công bố kiểm toán Sorbetto Fragola trên GitHub. Nhưng kỳ lạ thay, báo cáo kiểm toán – vốn phải rất cẩn trọng và chi tiết – lại thiếu đi các trang đầu. Dù vậy, khi xem xét bộ code hợp đồng thông minh, các bên đã phát hiện ra sáu lỗi mã hóa. Bốn trong số đó được phân loại ở mức độ nghiêm trọng trung bình, một ở mức độ nghiêm trọng thấp và một lỗi mang tính thông tin.

Báo cáo cho biết 5 trong số 6 lỗi đã được khắc phục, với lỗi nghiêm trọng trung bình là “Tính toán số lượng không chính xác trong burnLiquidityShare ()” đang được “Xác nhận”. Các lỗi không đề cập đến các sai sót liên quan đến kế toán phí.

Trong quá trình xem xét về những gì đã xảy ra, Peckshield cho biết các vấn đề liên quan đến việc hạch toán phí đã vô tình tạo cơ hội cho hacker hành động. Và khi các kẻ tấn công lặp đi lặp lại quá trình trên bảy pool khác, số tiền thu được của họ sẽ được nhân lên.

Mudit Gupta, một nhà phát triển cốt lõi của DeFi “blue chip” SushiSwap, cũng đã đề cập đến câu chuyện này trên Twitter:

“Popsicle Finance bị tấn công, các hacker rút ruột khoảng $ 25 triệu. Vụ hack rất phức tạp nhưng lỗ hổng lại rất đơn giản. Về cơ bản, Popsicle không chuyển khoản nợ thưởng khi người dùng chuyển nhượng cổ phần của mình. Điều này cho thấy hacker có nhiều cách khai thác, một trong số đó đã được sử dụng ở đây”. 

Theo những thông tin từ Peckshield, hacker đã tạo ra ba hợp đồng khác nhau ví dụ là A, B, C. Từ đó, tận dụng lỗ hổng trong khâu tính phí giao dịch.

“Nguyên nhân vụ hack là do phí không được tính toán thích hợp khi các token LP được chuyển. Cụ thể, kẻ tấn công tạo ra ba hợp đồng A, B và C và lặp lại theo trình tự: Gửi tiền vào hợp đồng A – Từ A, chuyển nhượng các LP token sang hợp đồng B – Sử dụng cơ chế thu phí của Sorbetto để trích xuất ra một lượng tiền, sau đó tiếp tục gửi tiền từ B sang hợp đồng C – Tiếp tục sử dụng Sorbetto sau đó chuyển tiền từ C sang hợp đồng A – Tiếp tục vòng lặp này với 8 pool”, đội ngũ cho biết.

vi-sao-du-an-defi-popsicle-finance-van-bi-tan-cong-du-da-duoc-kiem-toan-boi-peckshield

Sau khi thực hiện tấn công 8 pool, hacker thu về tổng cộng khoảng $ 25 triệu. Số tiền này nhanh chóng được chuyển sang nền tảng Tornado Cash để phi tang. Popsicle sau đó đã lên tiếng trấn an người dùng rằng hợp đồng thông minh của nền tảng không bị ảnh hưởng. Đồng thời, yêu cầu người dùng các pool ETH/AXS, ETH/SLP, ETH/LINK,.. nhanh chóng rút thanh khoản.

CipherTrace cảnh báo rằng gian lận DeFi đang ở mức kỷ lục

Công ty phân tích CipherTrace báo cáo rằng trong khi tội phạm tiền điện tử đang giảm dần vào năm 2021, gian lận DeFi lại đạt mức kỷ lục. Trong bốn tháng, từ tháng 01 đến tháng 04 năm nay, tội phạm tiền điện tử đã đánh cắp $ 432 triệu, với 56% ($240 triệu) trong số đó có liên quan đến DeFi.

Giám đốc điều hành của CipherTrace, Dave Jevans cho biết khi DeFi phát triển rộng lớn hơn, những tên tội phạm sẽ tiếp tục hành động:

“… Những kẻ tấn công luôn tìm cách lợi dụng sự cường điệu để lôi kéo mọi người vào trò lừa đảo. Các hacker sẽ tìm kiếm những dự án đã khởi chạy mà không được kiểm tra bảo mật đầy đủ, khai thác các lỗ hổng được mã hóa trong các hợp đồng thông minh”.

Peckshield kết luận rằng Sorbetto Fragola có một bộ codebase được tổ chức rõ ràng và các vấn đề đã được khắc phục hoặc xác nhận. Đây cũng là niềm an ủi nho nhỏ cho những nhà đầu tư thua lỗ.

Xoài

Theo AZCoin News

MỚI CẬP NHẬT

GRASS bùng nổ 30% trong một tuần – Các chỉ báo hé lộ đà...

GRASS đã bật tăng gần 30% trong tuần qua, đưa vốn hóa thị trường trở lại mốc 415 triệu USD và lần đầu tiên...
PEPE

Cá voi PEPE bán 150 tỷ token, giá sắp giảm 20%?

Trong bối cảnh thị trường gấu đang diễn ra, Pepe (PEPE) - memecoin lớn thứ ba tính theo vốn hoá đã mất đi mức...

Bitcoin khó có thể giảm xuống $65.000 khi ngân hàng trung ương sắp bơm...

Giá Bitcoin giảm 7% từ $88.060 vào ngày 26 tháng 3 xuống còn $82.036 trong ngày 29 tháng 3, dẫn đến 158 triệu USD...

MARA huy động 2 tỷ USD để mua thêm Bitcoin, củng cố chiến lược...

Công ty khai thác Bitcoin MARA Holdings vừa công bố kế hoạch phát hành thêm cổ phiếu trị giá 2 tỷ USD nhằm huy...

Cá voi ONDO rút lui khi giá đối mặt nguy cơ thủng mốc $0,70

ONDO đang chịu áp lực giảm mạnh, với mức giảm hơn 5% trong 24 giờ qua và điều chỉnh tới 19% trong vòng một...

Vốn hóa thị trường BNB vượt SOL nhờ vào ‘cơn sốt memecoin’

Binance Coin (BNB) là chủ đề bàn tán trong ngày hôm nay sau khi giành lại vị trí thứ năm trên bảng xếp hạng...

Khoảng cách giá này của Chainlink có thể quyết định đợt tăng giá tiếp...

Chainlink (LINK) đang biến động trong khoảng giữa hai vùng giá quan trọng, với dữ liệu on-chain cho thấy dấu hiệu tích lũy mạnh...
Giá Bitcoin có thể giảm xuống mức nào?

Giá Bitcoin có thể giảm xuống mức nào?

Bitcoin giảm hơn 6,5% trong hai ngày, xóa sạch đà tăng trước đó. Dữ liệu từ TradingView cho thấy giá Bitcoin đã giảm từ...

Đã đến lúc mua Ethereum? Cá voi bỏ túi 58 triệu đô la ETH

Trong bối cảnh tâm lý thị trường suy yếu, một cá voi tiền điện tử đã xem Ethereum (ETH) là cơ hội đầu tư...
Quỹ đạo Dogecoin năm 2025

Quỹ đạo Dogecoin năm 2025 : Liệu nó có thể giành lại ngôi vương...

Ra đời vào năm 2013, Dogecoin được thiết kế như một loại tiền kỹ thuật số mang tính giải trí và châm biếm, lấy...

Sam Bankman-Fried (SBF) là ai: Từ tỷ phú tiền điện tử đến tội phạm...

Sam Bankman-Fried (gọi tắt là SBF), từng được ca ngợi là "cậu bé vàng" của ngành tiền điện tử, là một trong những nhân...

Ethereum (ETH) có thể tiếp tục giảm khi 2 cá voi có nguy cơ...

Ethereum (ETH) lại chịu áp lực bán khi giảm khoảng 2,2% trong 24 giờ qua, hiện đang được giao dịch quanh mốc 1.845 USD....
stablecoin sonic

Sonic Labs bỏ stablecoin USD thuật toán và chuyển sang dirham của UAE

Sonic Labs đã hủy bỏ kế hoạch ra mắt stablecoin thuật toán được neo theo đô la Mỹ, thay vào đó lựa chọn phát...
stablecoin

Nguồn cung stablecoin 1 nghìn tỷ đô la có thể thúc đẩy tăng giá...

Theo David Pakman - đối tác quản lý của CoinFund, nguồn cung stablecoin toàn cầu có thể tăng lên 1 nghìn tỷ đô la...
Pi

Rộ tin đồn Pi Network có kế hoạch đốt token để hỗ trợ giá

Gần đây, giá trị token Pi Network giảm mạnh, khiến nhiều nhà đầu tư tự hỏi tương lai của Pi Coin sẽ ra sao....
altcoin

Đánh giá tình trạng yếu kém của thị trường altcoin

Vào thời điểm viết bài, tổng giá trị thị trường crypto đạt 2,72 nghìn tỷ đô la và tỷ lệ thống trị của Bitcoin...