Il 26 dicembre, la società di sicurezza blockchain CertiK ha emesso un avviso affermando che Defrost Finance, una piattaforma di trading con leva decentralizzata sulla Blockchain di Avalanche, è una "truffa di uscita". La mossa è arrivata proprio come Defrost ha annunciato che "l'hacker coinvolto nell'hack V1 [ma non nell'hack V2] ha restituito i fondi". A sostegno della decisione, CertiK ha scritto:
“Il 24 dicembre abbiamo visto una #exitscam su @Defrost_Finance. Abbiamo tentato di contattare più membri del team ma non abbiamo avuto risposta. Il team non è KYC, ma stiamo utilizzando tutte le informazioni di cui disponiamo per assistere le autorità".
Il giorno prima, Defrost Finance ha subito un attacco di prestito lampo che ha prosciugato gli utenti del protocollo per 12 milioni di dollari in asset sui suoi protocolli V1 e V2. Subito dopo l'exploit, anche la società di analisi blockchain PeckShield rilasciato un avvertimento che affermava che l'operazione era un "rugpull":
"Abbiamo ricevuto informazioni di intelligence dalla comunità che avvertivano il rugpull di @Defrost_Finance. La nostra analisi mostra che viene aggiunto un falso token collaterale e viene utilizzato un oracolo dei prezzi dannoso per liquidare gli utenti attuali. La perdita è stimata in > $ 12 milioni.
In una breve analisi post mortem, gli sviluppatori del progetto disse che gli hacker sono anche riusciti a rubare la chiave del proprietario per un attacco molto più grande al suo protocollo V1 rispetto all'exploit del prestito flash. Da allora lo sbrinamento offerto "condividendo il 20% (negoziabile) dei fondi in cambio della maggior parte delle risorse e invitando gli hacker a contattarci al più presto."
Dopo aver pubblicato l'indirizzo di un portafoglio Ethereum (ETH) sulla sua pagina social, al momento della pubblicazione sono stati trasferiti beni digitali per un valore di quasi 3 milioni di dollari. In un post medio pubblicato ore dopo, Defrost ha spiegato che l'hacker V1 aveva restituito i fondi rubati a un indirizzo controllato dagli sviluppatori del progetto.
“Presto inizieremo a scansionare i dati on-chain per scoprire chi possedeva cosa prima dell'hack per restituirli ai legittimi proprietari. Poiché diversi utenti avevano proporzioni variabili di beni e debiti, questo processo potrebbe richiedere un po' di tempo. Tuttavia, sarà concluso abbastanza rapidamente.
Questa è una storia in evoluzione e verrà aggiornata di conseguenza.
Aggiornamento 15:50 26 dicembre 2022 UTC: Aggiunte informazioni da DeFrost relative alla restituzione dei fondi dall'attaccante V1
Fonte: https://cointelegraph.com/news/defrost-finance-offers-20-payment-to-hackers-as-certik-claims-project-is-an-exit-scam