Незважаючи на аудит, Certik бачить відшкодування 12 мільйонів доларів США від криптоексплойту

Екологічний стабільний конус проект Defrost Finance поверне 12 мільйонів доларів США у вигляді коштів, вкрадених до 23 грудня 2022 року, попри перевірку коду CertiK.

Розморожувати буде використовувати дані в ланцюжку для забезпечення правильного розподілу вкрадених коштів. Відшкодування відбувається після того, як зловмисник використав недоліки в кількох смарт-контрактах Defrost. Блокчейн безпеку фірма Peckshield спочатку повідомляє напад 23 грудня 2022 року.

Клієнти Defrost втрачають 12 мільйонів доларів

Повідомляється, що хакер злив 173,000 1 доларів США через атаку на флеш-позику, спрямовану на протокол V2 Defrost. Під час більш значної атаки V12 зловмисник викрав XNUMX мільйонів доларів, ліквідувавши позиції користувачів за допомогою підробленого токена застави та зловмисної ціни оракул. Нападники пізніше нібито вкрали 1.4 мільйона доларів від міжланцюжкового технологічного агрегатора Rubic Finance, що викликає занепокоєння щодо вразливості коду смарт-контракту.

Ліквідації відбуваються в Defi коли вартість застави користувача падає нижче мінімального співвідношення позики до вартості, передбаченого протоколом кредитування. Протоколи стейблкойнів, такі як Defrost, дозволяють користувачам вносити заставу для безстрокової позики стейблкойнів. Протокол використовує алгоритмічно скориговану плату за стабільність для встановлення відсотків за кредитом. Введення фальшивої застави у V2, ймовірно, скомпрометувало співвідношення кредиту та вартості користувачів Defrost, що призвело до їх ліквідації.

Аудити CertiK виявляють проблеми централізації

обидві хакі звернули увагу на висновки, які можна зробити з аудиту коду смарт-контракту при оцінці законності Defi демонструвати. Фірма з безпеки блокчейнів CertiK була замішана в обох хаках, причому Defrost і Rubic пройшли перевірку коду компанією. 

CertiK аудит Розморозити смарт-контракти V1 у листопаді 2021 року, перерахувавши критичну логічну проблему та п’ять проблем, пов’язаних із централізацією. Перше було вирішено під час публікації, тоді як друге було визнано без доказів подальшої роботи. Логічна проблема, яку в просторіччі називають «помилкою», дозволяє смарт-контрактам працювати неправильно без збоїв. З іншого боку, а питання централізації може спричинити компрометацію кількох об’єктів, якщо хакер отримує доступ до спільного блоку коду або змінної.

CertiK також розкопали кілька проблем централізації в смарт-контракті SwapContract від Rubic Finance, одна з яких дозволить хакеру вивести ETH/BNB та інші токени на адресу хакера.

Аудит не замінить здоровий глузд

Замість того, щоб підтримувати проект або його активи, CertiK перевіряє стійкість смарт-контрактів до різних векторів атак. Він також оцінює відповідність контрактів прийнятним стандартам кодування та порівнює розумні контракти проекту з контрактами, створеними лідерами галузі. 

Ретельний аналіз веб-сайту CertiK показує, що компанія перевіряє лише код, наданий протоколом DeFi. Він радить зацікавленим інвесторам провести власну перевірку. Крім того, його звіти містять таке застереження:

«Позиція CertiK полягає в тому, що кожна компанія та окрема особа несуть відповідальність за належну обачність і постійну безпеку. Мета CertiK полягає в тому, щоб допомогти зменшити вектори атак і високий рівень дисперсії, пов’язаний із використанням нових технологій, які постійно змінюються, і жодним чином не претендує на будь-яку гарантію безпеки чи функціональності технології, яку ми погоджуємося проаналізувати».

Хоча ці звіти не є повною картиною, вони можуть надати уявлення про ризики проекту, допомагаючи інформувати зацікавлені сторони про проект. Будь-які запропоновані зміни до коду смарт-контракту можуть піддаватися стандарту протоколу голосування процедура без державного втручання. 

Генеральний директор Coinbase Брайан Армстронг прихильники щоб протоколи DeFi були захищені свободою слова в Сполучених Штатах, а не регулювалися законами, що регулюють бізнес фінансових послуг.

Для останнього Be[In]Crypto Біткойн (BTC) аналіз, натисніть тут.