在遭到黑客攻击后,Popsicle Finance团队成员立即发推表示,目前仅有 Sorbetto Fragola 一款产品受到影响。团队将在几周内修复漏洞并对用户损失进行赔偿。
Round 2
通过合约A调用SorbettoFragola的deposit函数获取凭证代币PLP。
Round 3
将PLP发送给合约B并执行SorbettoFragola的collectFee函数,这时输入的amount均为0,更新合约B的奖励参数。之后将PLP发送到合约C,进行同样的操作。合约C完成操作后将PLP发送回合约A。
Round 5
接着合约B与合约C再度执行collectfee函数。
此时amount如下图所示:
最后,满足调用pay函数的条件,通过pay函数向合约C发送代币。
事件复盘
我们需要注意什么 Case Review
Popsicle Finance最初管理的是跨链流动性,于6月26日推出Sorbetto Fragola 以管理Uniswap v3流动性。
项目方应该也没有预料到,黑客会在今日进行攻击,导致了约2070万美元的损失。可见,安全预判是多么重要。
注意
成都链安在此建议,对于项目方而言,在PLP转移时,应该重新计算并更新PLP发送方与接收方的奖励值,避免奖励重复发放。此外,项目的逻辑缺陷一定要得到重视。