Ekologinen stablecoin Project Defrost Finance palauttaa 12 miljoonan dollarin varoja, jotka varastettiin 23, hyväksikäyttöön huolimatta CertiK:n suorittamasta kooditarkastuksesta.
Sulattaa käyttää ketjussa olevat tiedot, jotta varmistetaan varastettujen varojen oikea kohdentaminen. Hyvitys tulee sen jälkeen, kun hyökkääjä käytti hyväkseen useiden Defrost-älysopimusten puutteita. Blockchain turvallisuus yritys Peckshield raportoitu hyökkäys 23.
Sulatusasiakkaat menettävät 12 miljoonaa dollaria
Hakkerin kerrotaan tyhjentävän 173,000 1 dollaria Defrostin V2-protokollalle kohdistetulla flash-lainahyökkäyksellä. Merkittävämmässä V12-hyökkäyksessä tekijä varasti XNUMX miljoonaa dollaria likvidoimalla käyttäjien asemat väärennetyn vakuustunnuksen ja haitallisen hinnan avulla. oraakkeli. Hyökkääjät myöhemmin väitetään varastaneen 1.4 miljoonaa dollaria ketjujen väliseltä teknologiayhdistäjältä Rubic Financelta, mikä herättää huolta älykkäiden sopimuskoodien haavoittuvuuksista.
Likvidaatioita tapahtuu vuonna defi kun käyttäjän vakuuden arvo alittaa lainausprotokollan vähimmäislaina-arvosuhteen. Stablecoin-protokollat, kuten Defrost, antavat käyttäjien tallettaa vakuuden ikuiselle stablecoin-lainalle. Protokolla käyttää algoritmisesti mukautettua vakausmaksua lainan koron määrittämiseen. Väärennettyjen vakuuksien käyttöönotto V2:ssa todennäköisesti vaaransi Defrost-käyttäjien laina-arvosuhteen, mikä johti heidän selvitystilaansa.
CertiK-tarkastukset paljastavat keskittämisongelmia
molemmat hakata ovat kiinnittäneet huomiota johtopäätöksiin, jotka voidaan tehdä älykkäiden sopimuskoodien auditoinneista arvioidessaan sopimuksen laillisuutta. defi hanke. Blockchain-turvayritys CertiK oli sekaantunut molempiin hakkereihin, ja Defrost ja Rubic olivat läpikäyneet yrityksen kooditarkastukset.
CertiK tarkastettu Sulata V1:n älykkäät sopimukset marraskuussa 2021, luettele yksi kriittinen logiikkaongelma ja viisi keskittämiseen liittyvää ongelmaa. Edellinen oli ratkaistu lehdistön aikana, kun taas jälkimmäinen tunnustettiin ilman näyttöä lisätyöstä. Logiikkaongelma, jota puhekielessä kutsutaan "vikaksi", mahdollistaa älykkäiden sopimusten toimimisen väärin kaatumatta. Toisaalta a keskittämiskysymys voi aiheuttaa useiden entiteettien vaarantumisen, jos hakkeri saa pääsyn jaettuun koodilohkoon tai muuttujaan.
CertiK myös paljastui useita keskittämisongelmia Rubic Financen SwapContract-älysopimuksessa, joista yksi antaisi hakkerille mahdollisuuden vetää ETH/BNB ja muita tokeneja hakkerin osoitteeseen.
Tarkastukset eivät korvaa maalaisjärkeä
Projektin tai sen omaisuuden tukemisen sijaan CertiK testaa älykkäiden sopimusten sietokykyä eri hyökkäysvektoreita vastaan. Se myös arvioi sopimusten noudattamista hyväksyttävien koodausstandardien kanssa ja vertaa projektin älykkäitä sopimuksia alan johtajien tuottamiin sopimuksiin.
CertiKin verkkosivuston huolellinen tarkastelu paljastaa, että yritys tarkastaa vain DeFi-protokollan tarjoamaa koodia. Se neuvoo kiinnostuneita sijoittajia suorittamaan oman due diligencensä. Lisäksi sen raportit sisältävät seuraavan vastuuvapauslausekkeen:
”CertiKin kanta on, että jokainen yritys ja henkilö on vastuussa omasta huolellisuudestaan ja jatkuvasta turvallisuudestaan. CertiK:n tavoitteena on auttaa vähentämään uusien ja jatkuvasti muuttuvien teknologioiden hyödyntämiseen liittyviä hyökkäysvektoreita ja suurta varianssia, eikä se millään tavalla vaadi takuita analysoitavan tekniikan turvallisuudesta tai toimivuudesta.
Vaikka nämä raportit eivät ole täydellistä, ne voivat antaa käsityksen hankkeen riskeistä ja auttaa tiedottamaan asiasta kiinnostuneille osapuolille. Älykäs sopimuskoodiin ehdotetut muutokset voivat käydä läpi protokollan standardin äänestys menettelyt ilman valtion väliintuloa.
Coinbase-toimitusjohtaja Brian Armstrong kannattaa että DeFi-protokollia suojelee sananvapaus Yhdysvalloissa sen sijaan, että niitä sääntelevät rahoituspalveluyrityksiä säätelevät lait.
Be[In]Crypton uusin Bitcoin (BTC) -analyysi, Klikkaa tästä.
Vastuun kieltäminen
BeInCrypto on ottanut yhteyttä tarinaan osallistuneeseen yritykseen tai yksityishenkilöön saadakseen virallisen lausunnon viimeaikaisista tapahtumista, mutta se ei ole vielä kuullut.
Lähde: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/