екологичен stablecoin проектът Defrost Finance ще върне 12 милиона долара средства, откраднати до 23 декември 2022 г., експлойт, въпреки че е преминал одит на кода от CertiK.
Размразяване ще използвам данни във веригата, за да се гарантира правилното разпределение на откраднатите средства. Възстановяването идва, след като нападател се възползва от недостатъци в множество интелигентни договори на Defrost. Блокчейн сигурност фирмата Peckshield първоначално съобщи нападението на 23 декември 2022 г.
Клиентите на Defrost губят $12 милиона
Съобщава се, че хакерът е източил $173,000 1 чрез флаш заемна атака, насочена към протокола V2 на Defrost. При по-значима V12 атака, извършител е откраднал $XNUMX милиона, като е ликвидирал позициите на потребителите чрез фалшив токен за обезпечение и злонамерена цена оракул. Нападателите по-късно уж откраднал $1.4 милиона от крос-верижния технологичен агрегатор Rubic Finance, което поражда опасения относно уязвимостите в кода на интелигентния договор.
Ликвидации се случват в Актив когато стойността на обезпечението на потребителя падне под минималното съотношение заем/стойност на протокола за кредитиране. Протоколите за стабилни монети като Defrost позволяват на потребителите да депозират обезпечение за постоянен заем за стабилни монети. Протоколът използва алгоритмично коригирана такса за стабилност, за да определи лихвата по заема. Въвеждането на фалшиво обезпечение към V2 вероятно е компрометирало съотношенията заем към стойност на потребителите на Defrost, което е довело до техните ликвидации.
Одитите на CertiK разкриват проблеми с централизацията
И двете хакове обърнаха внимание на заключенията, които могат да бъдат направени от одитите на кода на интелигентния договор, когато се оценява легитимността на Актив проект. Фирмата за сигурност на блокчейн CertiK беше замесена и в двата хака, като Defrost и Rubic бяха подложени на одит на кода от компанията.
CertiK одитирани Размразете интелигентните договори на V1 през ноември 2021 г., изброявайки критичен логически проблем и пет проблема, свързани с централизацията. Първият беше решен по време на пресата, докато последният беше признат без доказателства за по-нататъшна работа. Логически проблем, разговорно наричан „бъг“, позволява на интелигентните договори да работят неправилно, без да се срива. От друга страна, а проблем с централизацията може да причини компрометиране на няколко обекта, ако хакер получи достъп до споделен кодов блок или променлива.
CertiK също разкрита няколко проблема с централизацията в интелигентния договор SwapContract на Rubic Finance, един от които би позволил на хакер да изтегли ETH/BNB и други токени до адреса на хакера.
Одитите не заместват здравия разум
Вместо да одобрява проект или неговите активи, CertiK тества устойчивостта на интелигентните договори към различни вектори на атака. Той също така оценява съответствието на договорите с приемливите стандарти за кодиране и сравнява интелигентните договори на проекта с тези, произведени от лидери в индустрията.
Внимателното проучване на уебсайта на CertiK разкрива, че компанията одитира само код, предоставен от протокола DeFi. Той съветва заинтересованите инвеститори да извършат своя собствена проверка. Освен това докладите му съдържат следния отказ от отговорност:
„Позицията на CertiK е, че всяка компания и физическо лице са отговорни за собствената си надлежна грижа и непрекъсната сигурност. Целта на CertiK е да помогне за намаляване на векторите на атака и високото ниво на вариация, свързано с използването на нови и постоянно променящи се технологии, и по никакъв начин не претендира за гаранция за сигурност или функционалност на технологията, която сме съгласни да анализираме.
Въпреки че не са пълната картина, тези отчети могат да дадат представа за рисковете на даден проект, помагайки да се информират заинтересованите страни за проекта. Всички предложени промени в кода на интелигентния договор могат да преминат през стандарта на протокола гласуване процедура без държавна намеса.
Изпълнителният директор на Coinbase Брайън Армстронг застъпници протоколите DeFi да бъдат защитени от свободата на словото в Съединените щати, вместо да бъдат регулирани от закони, регулиращи бизнеса с финансови услуги.
За най-новото Be[In]Crypto Bitcoin (BTC) анализ, Натисни тук.
Отказ от отговорност
BeInCrypto се е свързал с компания или физическо лице, участващи в историята, за да получи официално изявление относно последните развития, но все още не е получил отговор.
Източник: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/