- Si dice che tutte le altre risorse digitali, a eccezione di quelle sul contratto intelligente compromesso, siano sicure
- Il progetto ha affermato di essere in contatto con l'individuo responsabile dell'exploit
L'ultimo exploit contro la piattaforma crittografica Team Finance, che ha perso circa 14.5 milioni di dollari in vari token, si è verificato nonostante una serie di recenti controlli di sicurezza, secondo la società.
Il progetto basato su Ethereum ha dichiarato giovedì di essere stato sfruttato tramite la sua funzione di migrazione verificata da Uniswap V2 a V3. Il progetto dopo ha affermato che tali audit erano stati condotti da una società "rispettabile".
Team Finance, un caveau di contratti intelligenti per l'acquisizione di liquidità e token, ha affermato che l'exploit non era correlato a nessun aggiornamento specifico e ha avvisato gli utenti che tutte le altre risorse sono state protette, dopo aver sospeso tutte le operazioni entro un'ora dalla violazione.
Un portavoce della società ha rifiutato di identificare l'azienda coinvolta, aggiungendo che nel corso degli anni sono state coinvolte numerose società di audit di sicurezza, inclusa una che presumibilmente aveva firmato il codice del contratto intelligente che è stato sfruttato giovedì.
In genere, i progetti e i protocolli DeFi optano per diverse aziende per rivedere il proprio codice per ridurre le probabilità di un singolo punto di errore.
Dall'inizio del progetto due anni fa, una società con sede in Estonia, Hacken, è stata responsabile dell'80% degli audit di Team Finance, secondo diversi documenti ottenuto da Blockworks.
La società di revisione della sicurezza blockchain Coinspect aveva condotto una revisione del codice del contratto intelligente del progetto nel marzo di quest'anno, mentre un'altra, CertiK, ha effettuato la revisione nel giugno 2021.
L'ultimo hack segue la scia della piattaforma DeFi compromessa di questo mese Mango Markets che è stata prosciugata per $112 milioni in un attacco di manipolazione dell'oracolo dei prezzi.
Mango aveva commissionato il proprio audit a settembre, che è stato gestito da un team di ricercatori di sicurezza presso Neodyme poco prima che la piattaforma di trading venisse colpita dal suo exploit cinque settimane dopo.
Entrambe le istanze hanno messo in discussione la sicurezza di alcuni protocolli DeFi e l'integrità dei loro audit.
La maggior parte dei progetti del settore si basa su codice open source, consentendo ad attori nefasti di scrutare all'interno del back-end di un protocollo per perseguire potenziali vettori di attacco.
Il team Finance ha affermato di aver sospeso le funzionalità della piattaforma e di aver indagato sul problema insieme a diverse aziende nel tentativo di risolvere il problema.
Il team ha anche affermato di aver contattato lo sfruttatore nel tentativo di risolvere il problema. L'indirizzo del portafoglio dello sfruttatore su Ethereum è stato inserito nella lista nera e si dice che gli scambi siano stati contattati, secondo l'aggiornamento.
Ricevi ogni sera le notizie e gli approfondimenti più importanti del giorno sulla criptovaluta nella tua casella di posta. Iscriviti alla newsletter gratuita di Blockworks ora.
Fonte: https://blockworks.co/defi-platform-exploited-for-14-5m-despite-security-audits/