Децентрализирана платформа за търговия с ливъридж на Avalanche, Defrost finance съобщи че всички средства, загубени поради експлойт на неговата платформа на 23 декември, са били върнати на 26 декември след твърдения за възможно издърпване на килима.
Хакнатите средства са върнати #DefrostFinance.
Засегнатите потребители много скоро ще могат да поискат своите активи обратно.
Детайли 👇https://t.co/RpDqKAK44y
— Defrost Finance 🔺 (@Defrost_Finance) Декември 26, 2022
Defrost Finance потвърди, че ще върне всички загубени средства на експлоатираните потребители след сканиране на данните във веригата, за да определи собствеността и размера на средствата, притежавани от всеки засегнат потребител.
По-рано протоколът, базиран на Avalanche, съобщи, че платформата е била хакната, като нападател тегли средства, използвайки функцията за флаш заем.
На 24 декември фирмата заяви, че само техният продукт V2 е засегнат, а V1 остава в безопасност.
Defrost Finance със съжаление съобщава, че нашият V2 е бил хакнат, като нападател е използвал функция за флаш заем, за да тегли средства.
V1 не е засегнат. Скоро ще затворим V2 UI и ще проучим допълнително с нашия технически екип.
Актуализациите ще бъдат публикувани на нашите официални канали.
— Defrost Finance 🔺 (@Defrost_Finance) Декември 24, 2022
Въпреки това, на 25 декември екипът съобщи, че хакерът е получил и ключа на собственика за по-голяма атака срещу продукта V1 на платформата.
Хакерът е спечелил почти $173k от експлойта, според фирмата за анализ на блокчейн PeckShield.
- @Defrost_Finance се експлоатира, което води до печалба от ~$173k за хакера. Хакването е възможно поради липсата на заключване за повторно влизане за функциите flashloan()/deposit(), което е било използвано от хакера за манипулиране на цената на акциите на LSWUSDC. pic.twitter.com/SINHUZXC0D
—PeckShieldAlert (@PeckShieldAlert) Декември 23, 2022
След допълнителен анализ, PeckShield разкри че е добавен фалшив маркер за обезпечение. Злонамерен ценови оракул беше използван за ликвидиране на настоящи потребители за обща загуба от повече от $12 милиона, което показва възможно дърпане на килима.
Освен това фирмата за сигурност на блокчейн Certik твърди, че експлойтът е измама за излизане, след като не можаха да получат никакъв отговор на своите запитвания от екипа на Defrost Finance.
На 24 декември видяхме един #exitscam on @Defrost_Finance
Опитахме се да се свържем с няколко членове на екипа, но не получихме отговор.
Екипът не е KYC, но ние използваме цялата информация, с която разполагаме, за да помогнем на властите pic.twitter.com/XC009dM40T
— Сигнал за CertiK (@CertiKAlert) Декември 26, 2022
На същата бележка DeFiYieldApp, фирма за сигурност на Web3, Споделено в Twitter че са предупредили общността на DeFi преди една година за уязвимостта на интелигентния договор на Defrost Finance, която позволява на фирмата да дърпа своите потребители.
Въпреки че няма ясни индикации дали хакването е било дърпане на килим, фирмата е показала готовност да преговаря с хакерите за връщане на средства.
На 25 декември общата стойност на средствата, заключени в протокола, е спаднала до по-малко от $93,000 13.16 от $XNUMX милиона след атаката, според Данни на DefilLlama.
Източник: https://cryptoslate.com/defrost-finance-says-it-has-recovered-lost-funds-worth-12-million-from-hacker/