Popsicle Finance, un proyecto de criptodivisas de múltiples cadenas que genera rendimientos, se ha derretido bajo el calor de un nuevo exploit.
El atraco de $25 millones de dólares fue revelado por el investigador de seguridad Mudit Gupta, quien dijo que "el hackeo era complejo pero el error era simple". En un hilo de Twitter, Gupta también explicó cómo informó de un fallo similar en otro protocolo, y añadió que el error "ya ha sido explotado como en una docena de otros protocolos."
Popsicle Finance es un protocolo de finanzas descentralizadas (DeFi) con un conjunto de diferentes productos que permiten a los usuarios automatizar el rendimiento de sus tenencias de criptomonedas. El producto específico que ha sido atacado se llama Sorbetto Fragola, que en italiano significa "helado de fresa".
Cómo funcionó el exploit
En la última iteración de Uniswap, los proveedores de liquidez pueden establecer parámetros de precios específicos dentro de los cuales les gustaría añadir liquidez. Si, por ejemplo, crees que el precio de Ethereum seguirá cotizando entre $2.450 y $2.700 dólares, como lo ha hecho durante la última semana, entonces te inclinarás por añadir liquidez a este rango específico.
Esto se debe a que Uniswap paga a los proveedores de liquidez una parte de los ingresos de todas las comisiones de negociación generadas. La comisión de negociación más común es del 0,3%, pero puede ajustarse.
Popsicle Finance exploited, hacker drained ~$25m. The hack was complex but the bug was simple. TX Hash: https://t.co/CqyVvCq5I7
Basically, Popsicle doesn't transfer the reward debt when users transfer their shares. This exposes multiple exploits, one of which was used here 🧵👇 pic.twitter.com/shdYdyemD9
La función también significa que los usuarios de Uniswap están ahora incentivados para optimizar su provisión de liquidez con la mayor precisión posible, ya que si Ethereum sale de un rango de negociación, los usuarios tendrán que ajustar sus parámetros de precios. Esto les beneficia a ellos, ya que ganan más dinero con las comisiones de negociación, pero también a los traders que quieren recurrir a una reserva profunda y evitar el deslizamiento de los precios.
Naturalmente, la carrera por la optimización puede ser engorrosa, si no un auténtico dolor de cabeza para los profanos. El producto Sorbetto Fragola de Popsicle Finance se encarga de resolver este problema.
Por una pequeña cuota, los usuarios pueden simplemente depositar sus criptomonedas en Fragola, y el protocolo desplegará esas tenencias en la reserva de liquidez más lucrativa.
Es algo así como un robo-asesor para un proyecto de criptomonedas de nicho.
Por desgracia, la dulce promesa de simplicidad de Fragola se ha visto agriada por los problemas de seguridad. Un usuario en el Discord del proyecto dijo que "no perdió absolutamente todo, pero 6 cifras y sí duele". Otro informó de que había perdido "como el 40%" de su cartera a causa del exploit.
El Token nativo del proyecto, ICE, también se ha desplomado más de un 26% al cierre de esta edición, de acuerdo con CoinGecko.
En cuanto a los próximos pasos, Popsicle Finance ha instado a los usuarios a eliminar las participaciones de los grupos ETH/AXS, ETH/SLP, ETH/LINK y EURt lo antes posible.
1/
We are aware of the current exploit to Fragola. We will investigate and publish post mortem.
The other Popsicle Finance's contracts have not been exploited.
If you still have funds in the ETH/AXS, ETH/SLP, ETH/LINK or any EURt Pool please remove them immediately.
Los hacks, los exploits y los robos son habituales en el salvaje oeste del DeFi. Puede que Popsicle Finance sea lo más reciente, pero desde luego no fue lo primero.
Y definitivamente no será la última.
Daily Debrief Newsletter
Start every day with the top news stories right now, plus original features, a podcast, videos and more.