Popsicle Finance, un proyecto criptográfico generador de rendimiento de múltiples cadenas, se ha derretido bajo el calor de un nuevo exploit.

El atraco de $25 millones fue revelado por el investigador de seguridad Mudit Gupta, quien dijo que «el hackeo fue complejo, pero el error era simple». En un hilo de Twitter, Gupta también explicó cómo reportó un error similar en otro protocolo, y agregó que el error «ya ha sido explotado en una docena de otros protocolos».

Popsicle Finance es un protocolo de finanzas descentralizadas (DeFi) con un conjunto de diferentes productos que permiten a los usuarios automatizar el rendimiento de sus tenencias criptográficas. El producto específico que ha sido atacado se llama Sorbetto Fragola,que en italiano es «sorbete de fresa».

Cómo funcionó el exploit

En la última iteración de Uniswap, los proveedores de liquidez pueden establecer parámetros de precios específicos dentro de los cuales les gustaría agregar liquidez. Si, por ejemplo, usted piensa que el precio de Etereum continuará negociando entre $2,450 y $2,700 como se ha hecho durante la semana pasada, entonces usted estaría inclinado a añadir liquidez a este rango específico.

Esto se debe a que Uniswap paga a los proveedores de liquidez una parte de los ingresos de todas las tarifas comerciales generadas. La tarifa de negociación más común es 0.3%, pero esto se puede ajustar.

Popsicle Finance exploited, hacker drained ~$25m. The hack was complex but the bug was simple. TX Hash: https://t.co/CqyVvCq5I7

Basically, Popsicle doesn't transfer the reward debt when users transfer their shares. This exposes multiple exploits, one of which was used here 🧵👇 pic.twitter.com/shdYdyemD9

— Mudit Gupta (@Mudit__Gupta) August 4, 2021

La característica también significa que los usuarios de Uniswap ahora están incentivados a optimizar su provisión de liquidez con la mayor precisión posible, ya que Ethereum deja un rango de negociación, los usuarios tendrán que ajustar sus parámetros de precio. Esto les beneficia, ya que ganan más dinero de las tarifas de negociación, sino también los comerciantes que quieren sacar de un fondo de piscina profunda y evitar el deslizamiento de precios.

Naturalmente, la carrera por optimizar puede ser engorrosa, si no un dolor de cabeza absoluto para los legos. Resolviendo este punto de dolor es donde encaja el producto Sorbetto Fragola de Popsicle Finance.

Por una pequeña tarifa, los usuarios pueden simplemente depositar sus tenencias criptográficas en Fragola, y el protocolo implementará esas tenencias en el fondo de liquidez más lucrativo.

Es algo así como un robo-advisor para un proyecto criptográfico de nicho.

Desafortunadamente, la dulce promesa de simplicidad de Fragola se ha visto agriada por preocupaciones de seguridad. Un usuario de discord del proyecto dijo que «no perdieron absolutamente todo, pero 6 cifras y sí duele». Otro informó que perdió como el 40%» de su cartera de la explotación.

El token nativo del proyecto, ICE, también se ha desplomado en más del 26% en el momento de la prensa, según CoinGecko.

En cuanto a los próximos pasos, Popsicle Finance ha instado a los usuarios a eliminar las tenencias de los grupos ETH/AXS, ETH/SLP, ETH/LINK y EURt lo antes posible.

1/

We are aware of the current exploit to Fragola. We will investigate and publish post mortem.

The other Popsicle Finance's contracts have not been exploited.

If you still have funds in the ETH/AXS, ETH/SLP, ETH/LINK or any EURt Pool please remove them immediately.

— Popsicle Finance (@PopsicleFinance) August 4, 2021

Hacks, exploits, y tirones de alfombras son todos par para el curso en el salvaje oeste de DeFi. Popsicle Finance puede ser la última, pero ciertamente no fue la primera.

Y definitivamente no será la última.

Pagina Original:

DeFi Protocol Popsicle Finance Hacked for $25 Million