Back to Blog

Analyse des Popsicle Finance Sicherheitsvorfalls

Code Auditing
August 4, 2021
4 min read

Am 4. August 2021 erlitt Popsicle Finance einen riesigen finanziellen Verlust (über 20 Mio. USD) durch einen Angriff [1]. Nach manueller Analyse bestätigen wir, dass es sich um einen double-claiming-Angriff handelt, d. h. eine Lücke im Belohnungssystem ermöglichte es dem Angreifer, Belohnungen wiederholt einzufordern. Im Folgenden werden wir eine Angriffstransaktion verwenden, um den Angriffsprozess und die Grundursache der Schwachstelle zu veranschaulichen.

Hintergrund

Popsicle Finance ist eine Yield-Optimierungsplattform, die mehrere Vaults für verschiedene Ketten (z. B. Ethereum und BSC) unterstützt.

Insbesondere ruft ein Benutzer zuerst die Funktion deposit auf, um Liquidität bereitzustellen, und erhält Popsicle LP-Token (kurz PLP). Danach verwaltet Popsicle Finance die Liquidität (interagiert mit Plattformen wie Uniswap) für den Benutzer, um Gewinne zu erzielen. Der Benutzer kann die Funktion withdraw aufrufen, um die Liquidität von Popsicle Finance zurückzuholen, wobei die Menge auf Basis der PLP-Token berechnet wird. Die Anreizbelohnung stammt aus der Liquidität, die im Laufe der Zeit angesammelt wird. Der Benutzer kann die Funktion collectFees aufrufen, um die Belohnungen einzufordern, was der Schlüssel zu diesem Angriff ist.

Schwachstellenanalyse

In der Funktion collectFees werden token0Reward und token1Reward (Belohnungen des entsprechenden LP-Token-Paares) für den Benutzer berechnet. Die gesamte Berechnungslogik ist unkompliziert. Die Funktion verwendet jedoch einen Modifikator namens updateVault, der zur entsprechenden Aktualisierung der Belohnungen dient.

Kurz gesagt, updateVault wird:

  1. zuerst die Funktion _earnFees aufrufen, um die angesammelten Gebühren aus dem Pool zu erhalten;
  2. dann die Funktion _tokenPerShare aufrufen, um token0PerShareStored und token1PerShareStored zu aktualisieren, die die Mengen an Token0 und Token1 im Pool pro Share darstellen;
  3. schließlich die Funktionen _fee0Earned und _fee1Earned aufrufen, um die Belohnungen für den Benutzer zu aktualisieren (d. h. token0Rewards bzw. token1Rewards).

Die Funktionen _fee0Earned und _fee1Earned teilen sich dieselbe Logik, d. h. sie implementieren die folgende Formel (am Beispiel von Token0):

user.token0Rewards += PLP.balanceOf(account) * (fee0PerShare - user.token0PerSharePaid) / 1e18

Beachten Sie, dass die Berechnung inkrementell ist, was bedeutet, dass die berechnete Belohnung den in token0Rewards gespeicherten Wert beibehält, auch wenn der Benutzer KEINEN PLP-Token hält.

Daher können wir die folgenden zwei Beobachtungen ableiten:

  1. Die Belohnungen des Benutzers werden in token0Rewards und token1Rewards gespeichert, die nicht mit PLP-Token verbunden sind.;
  2. Die Funktion collectFees hängt nur vom Status von token0Rewards und token1Rewards ab, was bedeutet, dass Belohnungen ohne Besitz von PLP-Token abgehoben werden können.

In der realen Welt bedeutet dies, dass eine Benutzerin Geld bei einer Bank einzahlt und die Bank ihr eine Einzahlungsbescheinigung ausstellt. Leider ist diese Bescheinigung weder fälschungssicher noch an die Benutzerin gebunden. In einem solchen Fall ist es möglich, Duplikate zu erstellen und diese an andere zu verteilen, um Gewinne von der Bank zu erzielen.

Angriffablauf

Kurz gesagt, der Angreifer führte die folgenden Schritte aus, um den Angriff zu starten:

  1. Erstellte drei Verträge. Einer davon wurde verwendet, um den Angriff zu starten, während die anderen beiden verwendet wurden, um die Funktion collectFees aufzurufen und die Belohnungen einzufordern;
  2. Nutzte den Flash Loan, d. h. die Ausleihe einer großen Menge Liquidität von AAVE;
  3. Startete den Deposit-Withdraw-CollectFees-Zyklus, um den Angriff durchzuführen (es gab insgesamt 8 Zyklen, und viel Liquidität wurde aus mehreren Vaults von Popsicle Finance abgezogen);
  4. Gab den Flash Loan zurück an AAVE und wusch die Gewinne über Tornado.Cash.

Insbesondere besteht der Deposit-Withdraw-CollectFees-Zyklus aus mehreren Schritten, die leicht gekennzeichnet und klar zusammengefasst werden können, indem unser Online-Tool verwendet wird [2];

Gewinnanalyse

Insgesamt erntete der Angreifer 20 Mio. USD von Popsicle Finance, darunter 2,56 K WETH, 96,2 WBTC, 160 K DAI, 5,39 Mio. USDC, 4,98 Mio. USDT, 10,5 K UNI. Nach dieser Ausnutzung tauschte der Angreifer zunächst alle anderen Token über Uniswap und WETH in ETH um und führte dann Geldwäsche mit Tornado.Cash durch.

Credits

Yufeng Hu, Ziling Lin, Junjie Fei, Lei Wu, Yajin Zhou @BlockSec

(In alphabetischer Reihenfolge nach Nachnamen)

https://www.blocksecteam.com

Medium: https://blocksecteam.medium.com/

Twitter: https://twitter.com/BlockSecTeam

Kontakt: [email protected]

Referenz

[1] https://twitter.com/defiprime/status/1422708265423556611

[2] https://tx.blocksecteam.com/

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit