DeFi 代码中的新“漏洞”允许盗窃 2000 万美元

关键事实：

一位计算机安全专家在 Twitter 上描述了这个漏洞“很简单”。

据专家称，对该平台的审计可能已经发现了问题。

DeFi 的平台 Popsicle Finance 是一家去中心化的做市商或“做市商”，遭遇黑客攻击，造成约 2070 万美元的损失。 犯罪分子利用代码中的漏洞向用户分配利润和奖励。 冰棒向黑客提供 100 万美元的奖励，以补充资金并“避免吓跑人们”。

推特用户 Mudit Gupta 在该社交网络上的一个帖子中发表了一份非官方报告，他表示，“黑客攻击很复杂，但漏洞很简单。” 根据这位安全和以太坊专家的说法——如他的个人资料所示——，由于代码更新，漏洞利用成为可能当用户在平台上存入代币时，冰棒使用的“Token0PerSharePaid”。 此代码允许在为后续支付奖励而进行存款的那一刻在智能合约中注册。

Gupta 说，这段代码中的变量不会在用户将他们的收入（股票）带到另一个地址时更新。这允许新地址从“第 0 天”开始领取奖励，而不是从用户存入他们的代币的那一刻开始。 推特用户说，黑客就是这样做的，窃取了 2070 万美元，这构成了“Sorbetto Fragola 矿池的 85%”，Popsicle 在 Medium 上的一份出版物中详细说明。

在被盗的加密货币中，500万个Tether（USDT）和等量的USD Coin（USDC）脱颖而出，另外还有160,000个DAI（DAI）。 如果资金返还，平台向黑客提供的奖励将“以您选择的加密货币”支付。

另一方面，这个错误也允许用户不断转移收入并多次为他们索取奖励如果您使用不同的帐户。 根据 Gupta 的说法，这是一个“相对简单但非常普遍”的错误。

DeFi Popsicle Finance 被黑的哈希片段。 资料来源：etherscan.io

最终，这位计算机科学家通过评论说 Popsicle Finance 的审计员（PeckShield 和 Certik）应该在他们的评论中发现这些问题来结束他的解释，尽管他承认“他们是人”并且可能会失败。 恶意交易的哈希值可以在 Etherscan 站点上找到。

DeFi 平台，一个反复出现的目标

提供去中心化金融服务的网站在 2020 年和 2021 年成为无数黑客攻击的受害者。今年，发生在此类平台上的最重要的攻击之一——与 Popsicle Finance 的攻击方式相同。这是煎饼兔。 当时，正如 CriptoNoticias 报道的那样，被盗金额达到 4500 万美元。

然而，实施此类犯罪的方法并不总是与“纯粹而简单”的计算有关。 例如，几天前，美国证券交易委员会设法关闭了一家自称是去中心化金融服务提供商的公司的运营，尽管实际上它的唯一目的是通过回报来欺骗其投资者和客户它们从未被生成。

—-

原文链接：https://www.criptonoticias.com/seguridad-bitcoin/nuevo-agujero-codigo-defi-permite-robo-usd-20-millones/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。