Ekologiczny stablecoin projekt Defrost Finance zwróci 12 milionów dolarów z funduszy skradzionych do 23 grudnia 2022 r., pomimo przejścia audytu kodu przez CertiK.
Rozmrażać będzie użyty dane on-chain, aby zapewnić prawidłową alokację skradzionych środków. Zwrot następuje po tym, jak atakujący wykorzystał luki w wielu inteligentnych kontraktach Defrost. Blockchain bezpieczeństwo początkowo firma Peckshield zgłaszane atak z 23 grudnia 2022 r.
Klienci Defrost tracą 12 milionów dolarów
Haker podobno spuścił 173,000 1 $ w wyniku ataku typu flash-pożyczka wymierzonego w protokół V2 firmy Defrost. W bardziej znaczącym ataku V12 sprawca ukradł XNUMX milionów dolarów, likwidując pozycje użytkowników za pomocą fałszywego tokena zabezpieczenia i złośliwej ceny wyrocznia. Napastnicy później rzekomo ukradł 1.4 miliona dolarów od międzyłańcuchowego agregatora technologii Rubic Finance, co wzbudziło obawy dotyczące luk w kodzie inteligentnej umowy.
Likwidacje odbywają się w DeFi gdy wartość zabezpieczenia użytkownika spadnie poniżej minimalnego stosunku kredytu do zabezpieczenia określonego w protokole kredytowym. Protokoły Stablecoin, takie jak Defrost, pozwalają użytkownikom zdeponować zabezpieczenie wieczystej pożyczki stablecoin. Protokół wykorzystuje dostosowaną algorytmicznie opłatę stabilizacyjną do ustalenia odsetek pożyczki. Wprowadzenie fałszywego zabezpieczenia do V2 prawdopodobnie zagroziło stosunkom kredytu do zabezpieczenia użytkowników Defrost, prowadząc do ich likwidacji.
Audyty CertiK ujawniają problemy z centralizacją
Obie hacki zwrócili uwagę na wnioski, jakie można wyciągnąć z audytów kodu inteligentnych umów przy ocenie zasadności DeFi projekt. CertiK, firma zajmująca się bezpieczeństwem Blockchain, była zamieszana w oba włamania, a Defrost i Rubic przeszły audyty kodu przeprowadzone przez firmę.
CertiK zbadane Rozmroź inteligentne kontrakty V1 w listopadzie 2021 r., wymieniając krytyczny problem logiczny i pięć problemów związanych z centralizacją. Ten pierwszy został rozwiązany w czasie prasy, podczas gdy drugi został potwierdzony bez dowodów na dalsze prace. Problem logiczny, potocznie określany jako „błąd”, sprawia, że inteligentne kontrakty działają niepoprawnie bez awarii. Z drugiej strony A kwestia centralizacji może spowodować kompromitację kilku podmiotów, jeśli haker uzyska dostęp do wspólnego bloku kodu lub zmiennej.
CertiK również odkopany kilka problemów z centralizacją w inteligentnym kontrakcie Rubic Finance SwapContract, z których jeden umożliwiłby hakerowi wypłatę ETH/BNB i innych tokenów na adres hakera.
Audyty nie zastępują zdrowego rozsądku
Zamiast popierać projekt lub jego aktywa, CertiK testuje odporność inteligentnych kontraktów na różne wektory ataków. Ocenia również zgodność umów z akceptowalnymi standardami kodowania i porównuje inteligentne umowy projektu z umowami tworzonymi przez liderów branży.
Dokładna analiza strony internetowej CertiK ujawnia, że firma kontroluje jedynie kod dostarczany przez protokół DeFi. Doradza zainteresowanym inwestorom przeprowadzenie własnego badania due diligence. Ponadto jej raporty zawierają następujące zastrzeżenie:
„Stanowisko CertiK jest takie, że każda firma i każda osoba jest odpowiedzialna za własną należytą staranność i ciągłe bezpieczeństwo. Celem CertiK jest pomoc w ograniczeniu wektorów ataków i wysokiego poziomu wariancji związanego z wykorzystaniem nowych i stale zmieniających się technologii i w żaden sposób nie gwarantujemy bezpieczeństwa ani funkcjonalności technologii, którą zgadzamy się analizować”.
Chociaż nie dają one pełnego obrazu, raporty te mogą zapewnić wgląd w ryzyko związane z projektem, pomagając w informowaniu zainteresowanych stron o projekcie. Wszelkie proponowane zmiany w kodzie inteligentnej umowy mogą podlegać standardowi protokołu głosowanie procedura bez interwencji rządu.
CEO Coinbase, Brian Armstrong Zwolennicy aby protokoły DeFi były chronione przez wolność słowa w Stanach Zjednoczonych, a nie regulowane przez przepisy regulujące firmy świadczące usługi finansowe.
Najnowsza wersja Be[In]Crypto Bitcoin Analiza (BTC), kliknij tutaj.
Odpowiedzialność
BeInCrypto skontaktował się z firmą lub osobą zaangażowaną w tę historię, aby uzyskać oficjalne oświadczenie na temat ostatnich wydarzeń, ale jeszcze nie otrzymał odpowiedzi.
Źródło: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/