Хакер вывел из DeFi-протокола Popsicle Finance более $20 млн

[Admin]

DeFi-проект Popsicle Finance подвергся хакерской атаке, в результате которой лишился $20,7 млн.

Ошибка обнаружилась в продукте проекта Sorbetto Fragola. Он позволяет пользователям размещать активы в наиболее доходных пулах ликвидности. Согласно сайту Popsicle Finance, решение разработано специально для Uniswap v3, внедрившей концентрированную ликвидность.

По данным DeFi-протокола, злоумышленник опустошил 85% пулов Sorbetto Fragola.

«Хакер заставил контракт полагать, что он получил столько же комиссий, как и общий объем заблокированных в пуле средств и, исходя из этого, имеет право на $20,7 млн, находившихся в пуле», — говорится в сообщении проекта.

Впоследствии он обменял полученные монеты на ETH на Uniswap, а затем отправил на сервис микширования Tornado.Cash, чтобы впоследствии отмыть средства, утверждают в Popsicle Finance.

Разработчик SushiSwap Мудит Гупта заявил, что «взлом был сложным, но баг простой». По его данным, в результате атаки хакер вывел $25 млн.

За возврат средств Popsicle Finance предложил злоумышленнику $1 млн «в любой валюте».

Депозиты для всех пулов заблокированы, единственными доступными для вывода пулами являются AXS/ETH, YGG/USDC, LINK/ETH и все пулы EURt. Пользователей призвали вывести средства из них.

Команда пообещала рассказать о плане компенсации потерь пользователям позже.

• Source: popsiclefinance.medium.com/popsicle-finance-post-mortem-after-fragola-hack-f45b302362e0