跨链收益提升平台Popsicle Finance遭攻击损失约2500万美元，同一漏洞已出现在十多个协议中

链捕手消息，推特用户@Mudit__Gupta发布跨链收益率提升平台Popsicle Finance遭黑客攻击的漏洞分析。分析显示，Popsicle Finance此次攻击共损失约2500万美元。漏洞详情在于，一般合约而言，当用户存入代币时，合约会根据用户的账户更新 `token0PerSharePaid` 和 `token1PerSharePaid`等，以跟踪他们存入代币的时间，合约可以从用户存入的日期而不是从第一天开始向用户支付奖励。

但在Popsicle中，当用户将他们的资金转移到不同的地址时，这些变量不会更新。新地址有资格从第 0 天开始领取奖励，而不是从用户存入代币开始，黑客利用了这一点。此漏洞还允许用户使用不同的账户多次转移份额并领取相同份额的奖励。

据该名用户，同一漏洞已在十几个其他协议中被利用。（来源链接）