Zdecentralizowany protokół handlu lewarowanego Defrost Finance, który niedawno ujawnił, że jego protokół został wykorzystany za około 12 milionów dolarów za pośrednictwem produktów V1 i V2, wydał aktualizację stwierdzającą, że atakujący V1 zwrócił wykorzystane środki.
„Wkrótce zaczniemy skanować dane w łańcuchu, aby dowiedzieć się, kto był właścicielem czego przed włamaniem, aby zwrócić je prawowitym właścicielom. Ponieważ różni użytkownicy mieli zmienne proporcje aktywów i długów, proces ten może zająć trochę [czasu]”, stwierdzili twórcy Defrost Finance za pośrednictwem .
Według zespołu, pierwszy atak polegał na wykorzystaniu sekwencji szybkich pożyczek w celu drenażu środków z produktu V2. Kolejny exploit został uruchomiony przy użyciu klucza właściciela, uzyskując dostęp do produktu V1 firmy Defrost Finance.
W zdecentralizowanych protokołach finansowych likwidacje mają miejsce, gdy wartość zabezpieczenia użytkownika spada poniżej minimalnego współczynnika kredytu do zabezpieczenia określonego w protokole. Odszranianie pozwala użytkownikom zdeponować zabezpieczenie pożyczki, które protokół wykorzystuje do obliczenia stopy procentowej tej pożyczki. Fałszywe zabezpieczenia wprowadzone do V2 prawdopodobnie zagroziły stosunkom kredytu do wartości zabezpieczenia użytkowników, prowadząc do ich likwidacji.
Protokół jest zbudowany na bazie łańcucha bloków Avalanche. Ciekawe jest to, że firmy zajmujące się bezpieczeństwem blockchain, takie jak Peckshield, twierdziły, że atak był bardziej wewnętrzną pracą i został uznany za dywanik.
CertiK, inna firma zajmująca się bezpieczeństwem i audytem blockchain, potwierdziła, że nie była w stanie nawiązać kontaktu z zespołem Defrost Finance, co doprowadziło do tego, że firma opublikowała ostrzeżenie na swoim koncie na Twitterze, które wskazywało, że hack Defrost Finance był zamiast tego oszustwem wyjściowym. W chwili pisania tego tekstu oficjalne konto Defrost Finance na Twitterze mogło nie odbierać wiadomości lub jest już wstępnie skonfigurowane, aby tego nie robić.
W listopadzie 2021 r. CertiK przeprowadził audyt inteligentnych kontraktów Defrost V1 i wymienił krytyczny problem logiczny oraz pięć problemów związanych z centralizacją. Oba problemy zostały rozwiązane w czasie prasy; pierwszy został uznany bez dowodów dalszej pracy, podczas gdy drugi został uznany za dowód dalszej pracy.
Termin „błąd” odnosi się do problemu logicznego, który może powodować nieprawidłowe działanie inteligentnych kontraktów bez awarii. Problemy z logiką pojawiają się, gdy inteligentne kontrakty nie działają zgodnie z przeznaczeniem, podczas gdy problemy z centralizacją są wynikiem uzyskania przez hakera dostępu do wspólnych bloków kodu lub zmiennych.
Wstępne raporty na temat exploita ujawniły, że około 173,000 1 USD zostało wypłukanych przez protokół V1.4, a kolejne 12 miliona USD zostało przejęte przez Rubic Finance, agregator międzyłańcuchowy powiązany z Defrost Finance. Te, wraz z napadem na 2 milionów dolarów na produkt VXNUMX, wzbudziły obawy co do stabilności i bezpieczeństwa protokołu pod względem kodu inteligentnej umowy, podważając kwestię centralizacji w całym ekosystemie.
Źródło: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered