不僅代碼的創建者錯過了這個漏洞,Peckshield 和Certik 的審計人員也沒有弄清楚如何使用直接從礦池中支付佣金的功能來損害其他投資者的利益。
Sorbetto Fragola 是專門為與Uniswap DEX 交易所的第三版互動而創建的,它可以讓你從交易所佣金中最大化流動性提供者的利潤,將資金中心化在一定範圍的價格波動上。
當資產波動超出Uniswap V3 規定的範圍時,冰棒金融礦池進行自動平衡。同時,Sorbetto Fragola 將用戶的加密貨幣替換為Popsicle Liquidity Provider 代幣。正是與他們合作,智能合約才能發揮作用,將所有餘額和轉賬都考慮在內以計算報酬。他們直接從流動性礦池中支付,這使得黑客可以攻擊智能合約。
該漏洞允許攻擊者“說服”算法,即轉移的交易應獲得礦池中所有可用資金的85% 作為獎勵。收到的代幣在Uniswap 交易所進行交易,並通過Tornado.Cash 混合器提取,以混淆ETH 交易的痕跡。
此次攻擊僅影響了Sorbetto Fragola 礦池,Popsicle Finance 其餘項目的資金是安全的。開發商尚未宣布向投資者追償損失的計劃。
資訊來源:由0x資訊編譯自CRYPTOR。版權歸作者Иван Петров所有,未經許可,不得轉載
