DeFi Protocol Popsicle Finance piraté pour 25 millions de dollars
Popsicle Finance, un projet de cryptographie multi-chaînes générant des rendements, a fondu sous la chaleur d’un nouvel exploit.
Le casse de 25 millions de dollars a été révélé par le chercheur en sécurité Mudit Gupta, qui a déclaré que « le piratage était complexe mais le bogue était simple ». Dans un fil Twitter, Gupta a également expliqué comment il avait signalé un bogue similaire dans un autre protocole, ajoutant que l’erreur « a déjà été exploitée dans une douzaine d’autres protocoles ».
Popsicle Finance est un protocole de finance décentralisée (DeFi) avec une suite de différents produits qui permettent aux utilisateurs d’automatiser le rendement de leurs avoirs cryptographiques. Le produit spécifique qui a été attaqué s’appelle Sorbetto Fragola, qui signifie « sorbet à la fraise » en italien.
Comment l’exploit a fonctionné
Dans la dernière itération d’Uniswap, les fournisseurs de liquidités sont autorisés à définir des paramètres de prix spécifiques dans lesquels ils souhaitent ajouter de la liquidité. Si, par exemple, vous pensez que le prix d’Ethereum continuera de se négocier entre 2 450 et 2 700 $ comme il l’a fait la semaine dernière, alors vous seriez enclin à ajouter de la liquidité à cette fourchette spécifique.
En effet, Uniswap verse aux fournisseurs de liquidités une partie du produit de tous les frais de transaction générés. Les frais de négociation les plus courants sont de 0,3%, mais ils peuvent être ajustés.
co/CqyVvCq5I7
Fondamentalement, Popsicle ne transfère pas la dette de récompense lorsque les utilisateurs transfèrent leurs actions. Cela expose plusieurs exploits, dont l’un a été utilisé ici 🧵👇
La fonctionnalité signifie également que les utilisateurs d’Uniswap sont désormais incités à optimiser leur fourniture de liquidités aussi précisément que possible. Comme Ethereum quitte une fourchette de négociation, les utilisateurs devront ajuster leurs paramètres de prix. Cela leur profite, car ils gagnent plus d’argent grâce aux frais de négociation, mais aussi aux commerçants qui souhaitent puiser dans un pool profond et éviter un dérapage des prix.
Naturellement, la course à l’optimisation peut être fastidieuse, voire un véritable casse-tête pour les profanes. Le produit Sorbetto Fragola de Popsicle Finance s’intègre dans la résolution de ce problème.
Pour une somme modique, les utilisateurs peuvent simplement déposer leurs avoirs crypto dans Fragola, et le protocole déploiera ces avoirs dans le pool de liquidités le plus lucratif.
C’est un peu comme un robo-conseiller pour un projet de crypto de niche.
Malheureusement, la douce promesse de simplicité de Fragola a été gâchée par des problèmes de sécurité. Un utilisateur du projet Discord a déclaré qu’ils « n’avaient pas absolument tout perdu, mais 6 chiffres et ça fait mal ». Un autre a déclaré avoir perdu « environ 40% » de son portefeuille à cause de l’exploit.
Le jeton natif du projet, ICE, s’est également écrasé de plus de 26% au moment de la publication, selon CoinGecko.
Quant aux prochaines étapes, Popsicle Finance a exhorté les utilisateurs à supprimer les avoirs des pools ETH/AXS, ETH/SLP, ETH/LINK et EURt dès que possible.
1/
Nous sommes au courant de l’exploit actuel de Fragola. Nous enquêterons et publierons post mortem.
Les autres contrats de Popsicle Finance n’ont pas été exploités.
Si vous avez encore des fonds dans l’ETH/AXS, l’ETH/SLP, l’ETH/LINK ou tout autre pool EURt, veuillez les retirer immédiatement.
Les hacks, les exploits et les tirages de tapis sont tous à la hauteur du parcours dans l’ouest sauvage de DeFi. Popsicle Finance est peut-être le dernier en date, mais ce n’était certainement pas le premier.
Et ce ne sera certainement pas la dernière.
