Децентрализиран протокол за търговия с ливъридж Defrost Finance, който наскоро разкри, че неговият протокол е бил експлоатиран за приблизително $12 милиона чрез продуктите V1 и V2, издаде актуализация, в която се посочва, че нападателят на V1 е върнал експлоатираните средства.
„Скоро ще започнем да сканираме данните във веригата, за да разберем кой какво е притежавал преди хакването, за да ги върнем на законните собственици. Тъй като различните потребители имаха променливи пропорции на активи и дългове, този процес може да отнеме малко [време]“, заявиха разработчиците на Defrost Finance чрез .
Според екипа, първата атака е включвала използването на последователност от флаш заеми за източване на средства от продукта V2. Друг експлойт беше стартиран с помощта на ключа на собственика, за получаване на достъп до продукта V1 на Defrost Finance.
При децентрализираните финансови протоколи ликвидациите се случват, когато стойността на обезпечението на потребителя падне под минималното съотношение заем/стойност на протокола. Defrost позволява на потребителите да депозират обезпечение за заем, което протоколът използва за изчисляване на лихвения процент по този заем. Фалшивите обезпечения, въведени във V2, вероятно са компрометирали съотношенията заем/стойност на потребителите, което е довело до техните ликвидации.
Протоколът е изграден върху блокчейна на Avalanche. Любопитното е, че фирми за сигурност на блокчейн като Peckshield твърдят, че атаката е по-скоро вътрешна работа и се смята за дърпане на килим.
CertiK, друга фирма за сигурност и одит на блокчейн, потвърди, че не са успели да установят контакт с екипа на Defrost Finance, което доведе до публикуването на предупреждение от фирмата в своя Twitter акаунт, което показва, че хакът на Defrost Finance вместо това е измама за излизане. Към момента на писане официалният акаунт на Defrost Finance в Twitter може или да не може да получава съобщение, или вече е предварително конфигуриран да не го прави.
През ноември 2021 г. CertiK одитира интелигентните договори на Defrost V1 и изброи критичен логически проблем и пет проблема, свързани с централизацията. И двата проблема бяха разрешени по време на пресата; първият беше признат без доказателства за по-нататъшна работа, докато вторият беше признат с доказателства за по-нататъшна работа.
Терминът „бъг“ се отнася до логически проблем, който може да доведе до неправилно функциониране на интелигентните договори без срив. Логически проблеми възникват, когато интелигентните договори не работят по предназначение, докато проблемите с централизацията са резултат от хакер, който получава достъп до споделени кодови блокове или променливи.
Първоначалните доклади за експлойта разкриха, че приблизително $173,000 1 са били източени през протокола V1.4, докато други $12 милиона са били взети чрез Rubic Finance, междуверижен агрегатор, свързан с Defrost Finance. Това, заедно с кражбата от 2 милиона долара за продукта VXNUMX, повдигна опасения относно стабилността и сигурността на протокола по отношение на кода на интелигентния договор, поставяйки под въпрос проблема с централизацията в неговата екосистема.
Източник: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered