Certik vidí 12 miliónov dolárov vymáhaných z Crypto Exploit Napriek auditu

ekologický stablecoin projekt Defrost Finance vráti 12 miliónov dolárov vo fondoch ukradnutých do 23. decembra 2022, a to aj napriek tomu, že prešiel auditom kódu spoločnosťou CertiK.

Odmraziť bude používať údaje o reťazci, aby sa zabezpečilo správne pridelenie ukradnutých prostriedkov. Vrátenie peňazí prichádza po tom, čo útočník využil chyby vo viacerých zmluvách Defrost smart. Blockchain zabezpečenia spočiatku firma Peckshield hlásené útok z 23. decembra 2022.

Klienti rozmrazovania prichádzajú o 12 miliónov dolárov

Hacker údajne odčerpal 173,000 1 dolárov prostredníctvom bleskového pôžičkového útoku na úrovni protokolu V2 spoločnosti Defrost. Pri významnejšom útoku V12 páchateľ ukradol XNUMX miliónov dolárov likvidáciou pozícií používateľov prostredníctvom falošného kolaterálu a škodlivej ceny. veštec. Útočníci neskôr údajne ukradol 1.4 milióna dolárov od cross-chain technologického agregátora Rubic Finance, čo vyvolalo obavy zo zraniteľnosti v kóde inteligentných zmlúv.

K likvidáciám dochádza v defi keď hodnota kolaterálu používateľa klesne pod minimálny pomer úveru k hodnote podľa protokolu o pôžičke. Protokoly Stablecoin, ako je Defrost, umožňujú používateľom vkladať kolaterál na trvalú pôžičku na stablecoiny. Protokol používa algoritmicky upravený poplatok za stabilitu na nastavenie úroku pôžičky. Zavedenie falošného kolaterálu do V2 pravdepodobne ohrozilo pomery úverov k hodnote používateľov Defrost, čo viedlo k ich likvidácii.

Audity CertiK odhaľujú problémy s centralizáciou

Oba hacky upozornili na závery, ktoré možno vyvodiť z auditov kódexu inteligentných zmlúv pri posudzovaní oprávnenosti a defi projektu. Blockchain bezpečnostná firma CertiK bola zapletená do oboch hackov, pričom Defrost a Rubic prešli auditom kódu spoločnosťou. 

čertík Overili Rozmrazte inteligentné zmluvy V1 v novembri 2021 s uvedením kritického logického problému a piatich problémov súvisiacich s centralizáciou. Prvý bol vyriešený v čase tlače, zatiaľ čo druhý bol uznaný bez dôkazov o ďalšej práci. Logický problém, hovorovo označovaný ako „chyba“, umožňuje, aby inteligentné zmluvy fungovali nesprávne bez zlyhania. Na druhej strane a problém centralizácie môže spôsobiť kompromitáciu niekoľkých entít, ak hacker získa prístup k zdieľanému bloku kódu alebo premennej.

CertiK tiez odkryla niekoľko problémov s centralizáciou v inteligentnom kontrakte Rubic Finance SwapContract, z ktorých jeden by umožnil hackerovi stiahnuť ETH/BNB a ďalšie tokeny na hackerovu adresu.

Audity nenahrádzajú zdravý rozum

Namiesto schvaľovania projektu alebo jeho aktív testuje CertiK odolnosť inteligentných zmlúv voči rôznym vektorom útokov. Posudzuje tiež súlad zmlúv s prijateľnými normami kódovania a porovnáva inteligentné zmluvy projektu s tými, ktoré vytvorili lídri v tomto odvetví. 

Dôkladná kontrola webovej stránky CertiK ukazuje, že spoločnosť kontroluje iba kód poskytovaný protokolom DeFi. Odporúča zainteresovaným investorom, aby vykonali svoju vlastnú due diligence. Okrem toho jej správy obsahujú nasledujúce vylúčenie zodpovednosti:

„Postoj CertiK je taký, že každá spoločnosť a jednotlivec sú zodpovední za svoju vlastnú starostlivosť a nepretržitú bezpečnosť. Cieľom spoločnosti CertiK je pomôcť znížiť vektory útokov a vysokú úroveň variácií spojených s využívaním nových a neustále sa meniacich technológií a žiadnym spôsobom si nenárokuje žiadnu záruku bezpečnosti alebo funkčnosti technológie, ktorú súhlasíme s analýzou.

Hoci tieto správy nepredstavujú úplný obraz, môžu poskytnúť prehľad o rizikách projektu a pomôcť tak informovať zainteresované strany o projekte. Akékoľvek navrhované zmeny kódu inteligentnej zmluvy môžu podliehať štandardu protokolu hlasovanie postup bez zásahu vlády. 

Generálny riaditeľ Coinbase Brian Armstrong zástancovia že protokoly DeFi sú v Spojených štátoch chránené slobodou prejavu a nie sú regulované zákonmi upravujúcimi podnikanie v oblasti finančných služieb.

Pre najnovšie Be[In]Crypto Bitcoin (BTC) analýza, kliknite tu.