Back to Blog

Analyse des Popsicle Finance Sicherheitsvorfalls

Code Auditing
August 4, 2021
4 min read

Am 4. August 2021 erlitt Popsicle Finance einen riesigen finanziellen Verlust (über 20 Mio. USD) durch einen Angriff [1]. Nach manueller Analyse bestätigen wir, dass es sich um einen double-claiming-Angriff handelt, d. h. eine Lücke im Belohnungssystem ermöglichte es dem Angreifer, Belohnungen wiederholt einzufordern. Im Folgenden werden wir eine Angriffstransaktion verwenden, um den Angriffsprozess und die Grundursache der Schwachstelle zu veranschaulichen.

Hintergrund

Popsicle Finance ist eine Yield-Optimierungsplattform, die mehrere Vaults für verschiedene Ketten (z. B. Ethereum und BSC) unterstützt.

Insbesondere ruft ein Benutzer zuerst die Funktion deposit auf, um Liquidität bereitzustellen, und erhält Popsicle LP-Token (kurz PLP). Danach verwaltet Popsicle Finance die Liquidität (interagiert mit Plattformen wie Uniswap) für den Benutzer, um Gewinne zu erzielen. Der Benutzer kann die Funktion withdraw aufrufen, um die Liquidität von Popsicle Finance zurückzuholen, wobei die Menge auf Basis der PLP-Token berechnet wird. Die Anreizbelohnung stammt aus der Liquidität, die im Laufe der Zeit angesammelt wird. Der Benutzer kann die Funktion collectFees aufrufen, um die Belohnungen einzufordern, was der Schlüssel zu diesem Angriff ist.

Schwachstellenanalyse

In der Funktion collectFees werden token0Reward und token1Reward (Belohnungen des entsprechenden LP-Token-Paares) für den Benutzer berechnet. Die gesamte Berechnungslogik ist unkompliziert. Die Funktion verwendet jedoch einen Modifikator namens updateVault, der zur entsprechenden Aktualisierung der Belohnungen dient.

Kurz gesagt, updateVault wird:

  1. zuerst die Funktion _earnFees aufrufen, um die angesammelten Gebühren aus dem Pool zu erhalten;
  2. dann die Funktion _tokenPerShare aufrufen, um token0PerShareStored und token1PerShareStored zu aktualisieren, die die Mengen an Token0 und Token1 im Pool pro Share darstellen;
  3. schließlich die Funktionen _fee0Earned und _fee1Earned aufrufen, um die Belohnungen für den Benutzer zu aktualisieren (d. h. token0Rewards bzw. token1Rewards).

Die Funktionen _fee0Earned und _fee1Earned teilen sich dieselbe Logik, d. h. sie implementieren die folgende Formel (am Beispiel von Token0):

user.token0Rewards += PLP.balanceOf(account) * (fee0PerShare - user.token0PerSharePaid) / 1e18

Beachten Sie, dass die Berechnung inkrementell ist, was bedeutet, dass die berechnete Belohnung den in token0Rewards gespeicherten Wert beibehält, auch wenn der Benutzer KEINEN PLP-Token hält.

Daher können wir die folgenden zwei Beobachtungen ableiten:

  1. Die Belohnungen des Benutzers werden in token0Rewards und token1Rewards gespeichert, die nicht mit PLP-Token verbunden sind.;
  2. Die Funktion collectFees hängt nur vom Status von token0Rewards und token1Rewards ab, was bedeutet, dass Belohnungen ohne Besitz von PLP-Token abgehoben werden können.

In der realen Welt bedeutet dies, dass eine Benutzerin Geld bei einer Bank einzahlt und die Bank ihr eine Einzahlungsbescheinigung ausstellt. Leider ist diese Bescheinigung weder fälschungssicher noch an die Benutzerin gebunden. In einem solchen Fall ist es möglich, Duplikate zu erstellen und diese an andere zu verteilen, um Gewinne von der Bank zu erzielen.

Angriffablauf

Kurz gesagt, der Angreifer führte die folgenden Schritte aus, um den Angriff zu starten:

  1. Erstellte drei Verträge. Einer davon wurde verwendet, um den Angriff zu starten, während die anderen beiden verwendet wurden, um die Funktion collectFees aufzurufen und die Belohnungen einzufordern;
  2. Nutzte den Flash Loan, d. h. die Ausleihe einer großen Menge Liquidität von AAVE;
  3. Startete den Deposit-Withdraw-CollectFees-Zyklus, um den Angriff durchzuführen (es gab insgesamt 8 Zyklen, und viel Liquidität wurde aus mehreren Vaults von Popsicle Finance abgezogen);
  4. Gab den Flash Loan zurück an AAVE und wusch die Gewinne über Tornado.Cash.

Insbesondere besteht der Deposit-Withdraw-CollectFees-Zyklus aus mehreren Schritten, die leicht gekennzeichnet und klar zusammengefasst werden können, indem unser Online-Tool verwendet wird [2];

Gewinnanalyse

Insgesamt erntete der Angreifer 20 Mio. USD von Popsicle Finance, darunter 2,56 K WETH, 96,2 WBTC, 160 K DAI, 5,39 Mio. USDC, 4,98 Mio. USDT, 10,5 K UNI. Nach dieser Ausnutzung tauschte der Angreifer zunächst alle anderen Token über Uniswap und WETH in ETH um und führte dann Geldwäsche mit Tornado.Cash durch.

Credits

Yufeng Hu, Ziling Lin, Junjie Fei, Lei Wu, Yajin Zhou @BlockSec

(In alphabetischer Reihenfolge nach Nachnamen)

https://www.blocksecteam.com

Medium: https://blocksecteam.medium.com/

Twitter: https://twitter.com/BlockSecTeam

Kontakt: [email protected]

Referenz

[1] https://twitter.com/defiprime/status/1422708265423556611

[2] https://tx.blocksecteam.com/

Sign up for the latest updates
~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly
Security Insights

~$15.9M Lost: Trusted Volumes & More | BlockSec Weekly

This BlockSec bi-weekly security report covers 11 notable attack incidents identified between April 27 and May 10, 2026, across Sui, Ethereum, BNB Chain, Base, Blast, and Berachain, with total estimated losses of approximately $15.9M. Three incidents are analyzed in detail: the highlighted $1.14M Aftermath Finance exploit on Sui, where a signed/unsigned semantic mismatch in the builder-fee validation allowed an attacker to inject a negative fee that was converted into positive collateral during settlement; the $5.87M Trusted Volumes RFQ authorization mismatch on Ethereum; and the $5.7M Wasabi Protocol infrastructure-to-contract-control compromise across multiple EVM chains.

Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit