DeFi-проект Popsicle Finance потерял $25 млн из-за «сложного взлома и простого бага»

«Взлом был сложным, но баг – простым», — написал он.Нажмите, чтобы раскрыть… Гупта сообщил, что ранее обнаружил похожий баг в другом протоколе, а в целом он использовался уже около десятка раз. Последние проблемы пользователей DeFi-проектов связаны с недавним обновлением децентрализованной биржи Uniswap, в которой поставщики ликвидности получили возможность настраивать параметры. Например, для увеличения заработков можно определить ценовой диапазон, в котором будет предоставляться ликвидность. В результате поставщики ликвидности мотивированы настраивать диапазон максимально точно и вынуждены вносить изменения при выходе курса за его пределы. Один из продуктов Popsicle Finance – Sorbetto Fragola – помогает решить эту проблему, за небольшую комиссию размещая активы в наиболее доходных пулах. В нем и обнаружился баг, из-за которого пользователи понесли крупные убытки. Один из них сообщил, что «потерял не все, но шестизначную сумму, и это болезненно». Другой написал, что лишился 40% портфеля. «По сути, Popsicle не переводит долг, когда пользователь перемещает свои доли. В результате открывается множество векторов для атаки, один из которых и был задействован в данном случае. Новый адрес может получать награды с нулевого дня, а не с момента зачисления депозита. Именно это и сделал злоумышленник. Этот баг также позволяет продолжать переводить доли и получать награды с тех же долей несколько раз при помощи различных счетов», — пишет Гупта.Нажмите, чтобы раскрыть… Собственный токен Popsicle Finance на фоне этого объявления снижается на 30% в момент публикации. Разработчики призывают пользователей вывести ликвидность из пулов ETH/AXS, ETH/SLP, ETH/LINK и EURt.