Децентралізований торговий протокол кредитного плеча Defrost Finance, який нещодавно оприлюднив інформацію про використання його протоколу на суму приблизно 12 мільйонів доларів через продукти V1 і V2, опублікував оновлення, в якому зазначено, що зловмисник V1 повернув використані кошти.
«Незабаром ми почнемо сканувати дані в мережі, щоб з’ясувати, хто чим володів до злому, щоб повернути їх законним власникам. Оскільки різні користувачі мали різні пропорції активів і боргів, цей процес може зайняти трохи [часу]», – заявили розробники Defrost Finance через .
За словами команди, перша атака передбачала використання послідовності флеш-позики для виведення коштів із продукту V2. Ще один експлойт було запущено з використанням ключа власника, отримавши доступ до продукту V1 від Defrost Finance.
У протоколах децентралізованого фінансування ліквідація відбувається, коли вартість застави користувача падає нижче мінімального співвідношення позики до вартості протоколу. Defrost дозволяє користувачам вносити заставу для позики, яку протокол використовує для розрахунку процентної ставки за цією позикою. Підроблена застава, введена у V2, ймовірно, скомпрометувала співвідношення кредиту та вартості, що призвело до їх ліквідації.
Протокол побудований на основі блокчейну Avalanche. Що цікаво, так це те, що фірми з безпеки блокчейнів, такі як Peckshield, стверджували, що атака була скоріше внутрішньою роботою, і її вважали зловживанням.
CertiK, ще одна фірма з безпеки й аудиту блокчейнів, підтвердила, що їм не вдалося встановити зв’язок із командою Defrost Finance, що призвело до того, що фірма опублікувала попередження у своєму обліковому записі Twitter, у якому вказувалося, що злом Defrost Finance був аферою на вихід. На момент написання статті офіційний обліковий запис Defrost Finance у Twitter міг або не отримувати повідомлення, або вже попередньо налаштований на це.
У листопаді 2021 року CertiK провів аудит смарт-контрактів Defrost V1 і перерахував критичну логічну проблему та п’ять проблем, пов’язаних із централізацією. Обидві проблеми були вирішені під час преси; перший був визнаний без доказів подальшої роботи, а другий був визнаний із доказами подальшої роботи.
Термін «помилка» стосується логічної проблеми, через яку розумні контракти можуть працювати неправильно без збоїв. Проблеми з логікою виникають, коли розумні контракти не працюють належним чином, тоді як проблеми з централізацією є результатом отримання хакером доступу до спільних блоків коду або змінних.
Початкові звіти про експлойт показали, що приблизно 173,000 1 доларів США було злито через протокол V1.4, а ще 12 мільйона доларів було вилучено через Rubic Finance, міжланцюговий агрегатор, пов’язаний з Defrost Finance. Це, разом із пограбуванням продукту V2 на XNUMX мільйонів доларів, викликало занепокоєння щодо стабільності та безпеки протоколу з точки зору його коду смарт-контрактів, що ставить під сумнів проблему централізації в екосистемі.
Джерело: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered