Нягледзячы на ​​аўдыт, Certik бачыць 12 мільёнаў долараў ад крыпта-эксплойта

экалагічны stablecoin праект Defrost Finance верне 12 мільёнаў долараў у выглядзе сродкаў, скрадзеных да 23 снежня 2022 г., эксплойт, нягледзячы на ​​​​праходжанне аўдыту кода CertiK.

Размарожванне будзе выкарыстоўваць даныя ў ланцужку, каб забяспечыць правільнае размеркаванне скрадзеных сродкаў. Вяртанне адбываецца пасля таго, як зламыснік выкарыстаў недахопы ў некалькіх смарт-кантрактах Defrost. Блокчейн бяспеку першапачаткова фірма Peckshield паведамляецца напад 23 снежня 2022 г.

Кліенты Defrost страцілі 12 мільёнаў долараў

Паведамляецца, што хакер зліў 173,000 1 долараў з дапамогай флэш-атакі пазыкі, накіраванай на пратакол V2 Defrost. У больш значнай атацы V12 злачынец скраў XNUMX мільёнаў долараў шляхам ліквідацыі пазіцый карыстальнікаў з дапамогай фальшывага закладнага токена і зламыснай цаны аракул. Нападнікі пазней нібыта скраў 1.4 мільёна долараў ад міжланцуговага тэхналагічнага агрэгатара Rubic Finance, што выклікае занепакоенасць уразлівасцямі ў кодзе смарт-кантрактаў.

Ліквідацыі адбываюцца ў в Defi калі кошт залогу карыстальніка апускаецца ніжэй за мінімальнае стаўленне пазыкі да кошту пратакола крэдытавання. Такія пратаколы стейблкойнаў, як Defrost, дазваляюць карыстальнікам уносіць заклад для бестэрміновай пазыкі стейблкойнаў. Пратакол выкарыстоўвае алгарытмічна адрэгуляваную плату за стабільнасць для ўстанаўлення працэнтаў па крэдыце. Увядзенне фальшывага закладу ў V2, верагодна, пагоршыла суадносіны пазыкі і кошту карыстальнікаў Defrost, што прывяло да іх ліквідацыі.

Аўдыты CertiK выяўляюць праблемы цэнтралізацыі

Абодва хакі звярнулі ўвагу на высновы, якія можна зрабіць з аўдыту кода смарт-кантрактаў пры ацэнцы легітымнасці Defi праект. Кампанія CertiK, якая спецыялізуецца на бяспецы блокчейнов, была замяшаная ў абодвух узломах, прычым Defrost і Rubic прайшлі аўдыт кода кампаніяй. 

CertiK аўдыт Смарт-кантракты Defrost V1 у лістападзе 2021 г. з пералікам крытычнай лагічнай праблемы і пяці праблем, звязаных з цэнтралізацыяй. Першае было вырашана падчас публікацыі, а другое было прызнана без доказаў далейшай працы. Лагічная праблема, якую ў прастамоўі называюць «памылкай», дазваляе смарт-кантрактам працаваць няправільна без збояў. З іншага боку, а пытанне цэнтралізацыі можа прывесці да ўзлому некалькіх аб'ектаў, калі хакер атрымае доступ да агульнага блока кода або зменнай.

CertiK таксама раскапаў некалькі праблем цэнтралізацыі ў смарт-кантракце SwapContract ад Rubic Finance, адна з якіх дазволіць хакеру вывесці ETH/BNB і іншыя токены на адрас хакера.

Аўдыты не замяняюць здаровы сэнс

Замест таго, каб падтрымліваць праект або яго актывы, CertiK правярае ўстойлівасць смарт-кантрактаў да розных вектараў нападаў. Ён таксама ацэньвае адпаведнасць кантрактаў прымальным стандартам кадавання і параўноўвае смарт-кантракты праекта з кантрактамі, створанымі лідэрамі галіны. 

Уважлівае вывучэнне вэб-сайта CertiK паказвае, што кампанія правярае толькі код, прадстаўлены пратаколам DeFi. Ён раіць зацікаўленым інвестарам правесці ўласную праверку. Акрамя таго, яго справаздачы ўтрымліваюць наступную адмову ад адказнасці:

«Пазіцыя CertiK заключаецца ў тым, што кожная кампанія і асоба нясуць адказнасць за ўласную належную абачлівасць і пастаянную бяспеку. Мэта CertiK - дапамагчы паменшыць вектары нападаў і высокі ўзровень дысперсіі, звязаны з выкарыстаннем новых тэхналогій, якія пастаянна змяняюцца, і ні ў якім разе не прэтэндуе на гарантыю бяспекі або функцыянальнасці тэхналогіі, якую мы згаджаемся прааналізаваць».

Нягледзячы на ​​тое, што гэта не поўная карціна, гэтыя справаздачы могуць даць зразумець рызыкі праекта, дапамагаючы інфармаваць зацікаўленыя бакі аб праекце. Любыя прапанаваныя змены кода смарт-кантракту могуць падвяргацца стандарту пратакола галасаванне Працэдуры без умяшальніцтва дзяржавы. 

Генеральны дырэктар Coinbase Браян Армстронг Прыхільнікі каб пратаколы DeFi былі абаронены свабодай слова ў Злучаных Штатах, а не рэгуляваліся законамі, якія рэгулююць бізнес фінансавых паслуг.

Для Be[In]Crypto апошняе Bitcoin Аналіз (BTC), Клікніце тут.