Deweloperzy i audytorzy DeFi stają się pobłażliwi. Atakujący wykorzystują exploita, który istnieje na wielu platformach DeFi, i w rezultacie zarabiają miliony dolarów. W najnowszym exploitu DeFi, Popsicle Finance, platforma, która automatycznie umieszcza środki użytkowników w puli płynności, która zapewnia im najwyższy zysk, została wykorzystana za 25 milionów dolarów przez atakującego, który wykorzystał lukę w kodzie Popsicle Finance. Niefortunne jest to, że Mudit Gupta, badacz bezpieczeństwa, wskazał, że ten błąd występował w protokołach kontraktowych DeFi pod koniec czerwca. volume_upcontent_copyshare
Jednak projekty DeFi, które później przyniosły owoce, a także programiści i audytorzy inteligentnych kontraktów, nie rozpoznali i nie załatali tego błędu, który istnieje w wielu protokołach DeFi. „Kiedy użytkownik wpłaca tokeny do Popsicle, aktualizuje `token0PerSharePaid` i `token1PerSharePaid` na swoim koncie, aby śledzić, kiedy zdeponował tokeny. Pomaga to w umowie wypłacać nagrody użytkownikowi od daty wejścia, a nie od pierwszego dnia” – powiedział Gupta wkrótce po ataku. „Błąd w Popsicle polega na tym, że te zmienne nie są aktualizowane, gdy użytkownik przenosi swój udział na inny adres. Nowy adres kwalifikuje się do odbierania nagród od dnia 0, a nie od momentu, w którym użytkownik zdeponował swoje tokeny. To właśnie zrobił napastnik. Ten błąd pozwala również użytkownikowi na wielokrotne przenoszenie udziałów i odbieranie nagród za te same udziały przy użyciu różnych kont.”
Gdzie jest postęp?
Zamiast poświęcać czas na napisanie umowy na aplikację lub usługę, którą chcą zbudować, kilku programistów DeFi po prostu kopiuje i wkleja kod z projektów, które osiągają podobne cele. Nawet jeśli platformy DeFi płacą za audyt bezpieczeństwa przed uruchomieniem, często zdarza się, że audytorzy przeoczają kluczowe błędy w umowach, które torują drogę do wielomilionowych exploitów – jak wtedy, gdy Akropolis, platforma DeFi, która przeszła dwa niezależne audyty, został wykorzystany. „Audytorzy i twórcy inteligentnych kontraktów muszą nadążyć za ekosystemem. Ten kod nie powinien był trafić do produkcji” – powiedział Gupta. Brak innowacji i postępu pokazuje, że większość branży DeFi nie poprawiła się z biegiem czasu. Nowe projekty to zazwyczaj rozwidlenia starych projektów bez nowych funkcji, tylko nowa nazwa, programistom i audytorom wciąż brakuje krytycznych błędów w kodzie, które mogą wyczerpać pulę płynności projektu, a atakujący nadal wykorzystują te błędy i uchodzą z milionami dolarów . Chociaż od powstania DeFi minęło sporo czasu, niewiele się zmieniło.
Autor : BitcoinSV.pl
Źródło : Popsicle Finance exploit shows DeFi innovation is stagnant – CoinGeek
