Пратакол дэцэнтралізаванага гандлю крэдытным рычагом Defrost Finance, які нядаўна раскрыў, што яго пратакол быў выкарыстаны прыкладна на 12 мільёнаў долараў праз прадукты V1 і V2, апублікаваў абнаўленне, у якім гаворыцца, што зламыснік V1 вярнуў выкрадзеныя сродкі.
«Мы неўзабаве пачнем сканаваць дадзеныя ў ланцужку, каб высветліць, хто чым валодаў да ўзлому, каб вярнуць іх законным уладальнікам. Паколькі розныя карыстальнікі мелі розныя прапорцыі актываў і запазычанасці, гэты працэс можа заняць крыху [часу]», — заявілі распрацоўшчыкі Defrost Finance праз .
Па словах каманды, першая атака ўключала выкарыстанне паслядоўнасці флэш-пазыкі для зліву сродкаў з прадукту V2. Яшчэ адзін эксплойт быў запушчаны з выкарыстаннем ключа ўладальніка, атрымаўшы доступ да прадукту V1 ад Defrost Finance.
У пратаколах дэцэнтралізаванага фінансавання ліквідацыі адбываюцца, калі кошт залогу карыстальніка апускаецца ніжэй мінімальнага суадносін пазыкі і кошту пратакола. Размарожванне дазваляе карыстальнікам уносіць заклад для пазыкі, які пратакол выкарыстоўвае для разліку працэнтнай стаўкі па гэтай пазыцы. Падробленае забеспячэнне, уведзенае ў V2, верагодна, пагоршыла суадносіны пазыкі і кошту карыстальнікаў, што прывяло да іх ліквідацыі.
Пратакол пабудаваны на аснове блокчейна Avalanche. Цікава тое, што фірмы па бяспецы блокчейнов, такія як Peckshield, сцвярджаюць, што атака была больш унутранай працай і лічылася выцягваннем дывана.
CertiK, яшчэ адна фірма па бяспецы і аўдыту блокчейна, пацвердзіла, што не змагла ўстанавіць кантакт з камандай Defrost Finance, што прывяло да таго, што фірма апублікавала папярэджанне ў сваім акаўнце ў Twitter, у якім сцвярджалася, што ўзлом Defrost Finance быў афёрай на выхадзе. На момант напісання артыкула афіцыйны ўліковы запіс Defrost Finance у Твітэры мог альбо не прымаць паведамленняў, альбо быў папярэдне настроены на гэта.
У лістападзе 2021 года CertiK правёў аўдыт смарт-кантрактаў Defrost V1 і пералічыў крытычную лагічную праблему і пяць праблем, звязаных з цэнтралізацыяй. Абедзве праблемы былі вырашаны падчас прэсы; першы быў прызнаны без доказаў далейшай працы, а другі быў прызнаны з доказамі далейшай працы.
Тэрмін «памылка» адносіцца да лагічнай праблемы, якая можа прывесці да няправільнай працы смарт-кантрактаў без збояў. Праблемы з логікай узнікаюць, калі смарт-кантракты не працуюць належным чынам, у той час як праблемы з цэнтралізацыяй з'яўляюцца вынікам атрымання хакерам доступу да агульных блокаў кода або зменных.
Першапачатковыя справаздачы аб эксплойце паказалі, што прыкладна 173,000 1 долараў ЗША былі злітыя праз пратакол V1.4, а яшчэ 12 мільёна долараў былі атрыманы праз Rubic Finance, міжланцуговы агрэгатар, звязаны з Defrost Finance. Гэта, а таксама крадзеж прадукту V2 на XNUMX мільёнаў долараў выклікалі занепакоенасць стабільнасцю і бяспекай пратакола з пункту гледжання кода смарт-кантрактаў, што паставіла пад пытанне цэнтралізацыю ўсёй яго экасістэмы.
Крыніца: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered