Ecologico stablecoin Il progetto Defrost Finance restituirà 12 milioni di dollari in fondi rubati fino al 23 dicembre 2022, exploit, nonostante sia stato sottoposto a un audit del codice da parte di CertiK.
Sbrinare userà dati on-chain per garantire la corretta allocazione dei fondi rubati. Il rimborso arriva dopo che un utente malintenzionato ha sfruttato i difetti in più contratti intelligenti di Defrost. Blockchain problemi di ferma Peckshield inizialmente segnalati l'attacco del 23 dicembre 2022.
I client di sbrinamento perdono $ 12 milioni
Secondo quanto riferito, l'hacker ha prosciugato $ 173,000 attraverso un attacco di prestito lampo livellato al protocollo V1 di Defrost. In un attacco V2 più significativo, un autore ha rubato 12 milioni di dollari liquidando le posizioni degli utenti tramite un token collaterale falso e un prezzo dannoso oracolo. Attaccanti dopo presumibilmente rubato $ 1.4 milioni dall'aggregatore tecnologico cross-chain Rubic Finance, sollevando preoccupazioni sulle vulnerabilità nel codice del contratto intelligente.
Le liquidazioni avvengono in DeFi quando il valore della garanzia di un utente scende al di sotto del rapporto prestito/valore minimo di un protocollo di prestito. I protocolli di stablecoin come Defrost consentono agli utenti di depositare garanzie per un prestito perpetuo di stablecoin. Il protocollo utilizza una commissione di stabilità regolata algoritmicamente per impostare l'interesse del prestito. L'introduzione di false garanzie su V2 ha probabilmente compromesso i rapporti prestito/valore degli utenti di Defrost, portando alla loro liquidazione.
Gli audit CertiK rivelano problemi di centralizzazione
Entrambi hack hanno attirato l'attenzione sulle conclusioni che possono essere tratte dagli audit del codice del contratto intelligente nel valutare la legittimità di a DeFi progetto. La società di sicurezza blockchain CertiK è stata coinvolta in entrambi gli attacchi, con Defrost e Rubic che sono stati sottoposti a controlli del codice da parte della società.
CertiK sottoposto a revisione contabile Scongela i contratti intelligenti di V1 nel novembre 2021, elencando un problema logico critico e cinque problemi relativi alla centralizzazione. Il primo era stato risolto al momento della stampa, mentre il secondo è stato riconosciuto senza prove di ulteriori lavori. Un problema logico, colloquialmente denominato "bug", consente ai contratti intelligenti di funzionare in modo errato senza arresti anomali. D'altra parte, l'a questione di centralizzazione può causare la compromissione di diverse entità se un hacker ottiene l'accesso a un blocco di codice condiviso o variabile.
CertiK anche dissotterrato diversi problemi di centralizzazione nel contratto intelligente SwapContract di Rubic Finance, uno dei quali consentirebbe a un hacker di ritirare ETH/BNB e altri token all'indirizzo dell'hacker.
Gli audit non sostituiscono il buon senso
Invece di approvare un progetto o le sue risorse, CertiK testa la resilienza dei contratti intelligenti a vari vettori di attacco. Valuta inoltre la conformità dei contratti con standard di codifica accettabili e confronta i contratti intelligenti di un progetto con quelli prodotti dai leader del settore.
Un attento esame del sito Web di CertiK rivela che la società controlla solo il codice fornito dal protocollo DeFi. Consiglia agli investitori interessati di condurre la propria due diligence. Inoltre, i suoi rapporti contengono il seguente disclaimer:
“La posizione di CertiK è che ogni azienda e individuo sia responsabile della propria due diligence e sicurezza continua. L'obiettivo di CertiK è aiutare a ridurre i vettori di attacco e l'elevato livello di varianza associato all'utilizzo di tecnologie nuove e in continua evoluzione e non rivendica in alcun modo alcuna garanzia di sicurezza o funzionalità della tecnologia che accettiamo di analizzare.
Sebbene non forniscano un quadro completo, questi rapporti possono fornire informazioni sui rischi di un progetto, contribuendo a informare le parti interessate su un progetto. Eventuali modifiche proposte al codice del contratto intelligente possono essere soggette allo standard di un protocollo voto procedura senza l'intervento del governo.
CEO di Coinbase Brian Armstrong sostenitori che i protocolli DeFi siano protetti dalla libertà di parola negli Stati Uniti piuttosto che essere regolati dalle leggi che disciplinano le attività di servizi finanziari.
Per le ultime novità di Be[In]Crypto Bitcoin (BTC) analisi, clicca qui.
Negazione di responsabilità
BeInCrypto ha contattato la società o l'individuo coinvolto nella storia per ottenere una dichiarazione ufficiale sui recenti sviluppi, ma non ha ancora ricevuto risposta.
Fonte: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/