La plataforma DeFi Popsicle Finance sufre un exploit de préstamos flash de 20 millones de dólares

La plataforma DeFi Popsicle Finance sufre un exploit de préstamos flash de 20 millones
Tabla de Contenidos

La plataforma Popsicle Finance DeFi es la última víctima de delitos DeFi, ya que sufrió un exploit de préstamos flash por valor de 20 millones de dólares el miércoles.

Popsicle Finance, una plataforma de optimización de rendimiento de múltiples cadenas para proveedores de liquidez, anunció el miércoles 4 de agosto que su Sorbetto Fragola, un optimizador y piloto automático Uniswap V3 LP, fue pirateado y el atacante pudo salirse con la suya con $ 20,7 millones en fondos de usuarios.

Según un informe post-mortem publicado el miércoles, este fue un ataque de préstamo rápido. El ataque afectó al grupo Sorbetto Fragola de Popsicle, un optimizador de LP de Uniswap V3. El informe describe el funcionamiento de este grupo como un procedimiento de cinco pasos.

  • Cuando un usuario deposita fondos en el grupo de Sorbetto Fragola, los fondos se envían directamente a UniV3.
  • «Las acciones de Popsicle Liquidity Provider (PLP) se entregan al usuario».
  • «Este contrato incluye información sobre el usuario, cuánto puso y cuándo depositó».
  • «El contrato verifica la posición del usuario y la cantidad de honorarios que ha ganado proporcionalmente al grupo total».
  • «El contrato da las tarifas en función de los parámetros establecidos».

El atacante aprovechó el tercer paso, la función estatal.

Según el desarrollador de SushiSwap, Mudit Gupta, el ataque fue complejo, pero se debió a un simple error comúnmente conocido que debería haberse detectado. Cuando un usuario deposita fondos, el contrato de Fragola actualiza token0PerSharePaid y token1PerSharePaid en su cuenta para realizar un seguimiento de cuándo depositó los tokens. Esto permite que el contrato pague al usuario las tarifas del estado directo.

Según Mudit Gupta:

El informe dice:

“El pirata informático hizo creer en el contrato que ganó tantos honorarios como el TVL total del grupo y, por lo tanto, tiene derecho a los 20,7 millones de dólares que había en el grupo. Este truco solo fue posible porque todo sucedió en una transacción (debido a flashloan)».

Según otra explicación de un usuario de Twitter, Kenrick, el pirata informático tomó un préstamo flash de $ 30 millones en Tether (USDT) y 13K ETH de Aave y luego depositó estos fondos en el grupo Popsicle Sorbetto Fragola. Al explotar el error, el autor afirma recompensas varias veces por las mismas acciones.

https://twitter.com/kendrick_tn/status/1422817286474407937

El atacante primero intercambió los fondos robados con ETH y luego los lavó con Tornado.Cash.


Si este artículo le pareció interesante, aquí puede encontrar más noticias sobre DeFi

RELATED POSTS

Review de THORchain
Reviews

Review de THORchain

El ecosistema blockchain ha dado lugar al nacimiento de todo tipo de herramientas y soluciones, pero a su vez, este expansionismo se ha visto truncado

Read More »

Síguenos en Redes

Cripto Tutoriales

Cripto Reviews

Ads