Произошел очередной взлом проекта децентрализованных финансов. Хакеры получили доступ к нескольким пулам ликвидности Popsicle Finance и вывели активы на сумму $20 млн.

Popsicle Finance ― платформа для поставщиков ликвидности с поддержкой нескольких блокчейнов. Разработчики написали, что баг в коде был «простым». Впрочем, это не помешало злоумышленникам украсть токены на сумму $20 млн. Уязвимость была обнаружена в инструменте Fragola для биржи Uniswap V3, который помогает поставщикам ликвидности увеличить прибыль.

«Мы уже в курсе про уязвимость в инструменте Fragola. Мы исследуем ее и опубликуем отчет. Другие контракты Popsicle Finance не затронуты. Если у вас остались средства в пулах ETH/AXS, ETH/SLP, ETH/LINK или любом пуле с EURt, то как можно быстрее выведите их», ― написали разработчики в социальной сети Twitter.

Злоумышленникам удалось вывести по 5 млн стейблкоинов USDC и USDT, 2 600 токенов wETH, 160 000 DAI, 10 000 UNI и 96 wBTC на общую сумму $20.7 млн. Благодаря уязвимости хакер заставил смарт-контракт считать, что тот получил комиссии на общую ликвидность пула. Поэтому злоумышленник смог опустошить пул. При этом для атаки хакер использовал мгновенные займы на $30 млн в USDT и $32 млн в ETH.

По данным разработчиков, сначала токены были обменены на ETH через децентрализованную биржу Uniswap, а затем хакер направил их на миксер Tornado.Cash для отмывания.

У проекта нет достаточных средств, чтобы возместить потери. Разработчики обратились к хакеру с предложением $1 млн в случае возврата украденных токенов. Кроме того, они предложили несколько возможных путей решения проблемы и призвали сообщество к обсуждению.

С начала 2021 года уже совершено более 20 взломов децентрализованных проектов. Убытки от хакерских атак в отрасли DeFi превысили $310 млн. В конце июля уже в третий раз атаке подверглась децентрализованная биржа Thorchain. Злоумышленники вывели более $8 млн.