Ecological stablecoin project Defrost Finance ay magbabalik ng $12 milyon sa mga pondong ninakaw hanggang Disyembre 23, 2022, pagsasamantala, sa kabila ng pag-audit ng code ng CertiK.
Defrost gagamitin on-chain data upang matiyak ang tamang paglalaan ng mga ninakaw na pondo. Ang refund ay dumating pagkatapos na pinagsamantalahan ng isang umaatake ang mga kapintasan sa maraming Defrost smart contract. Blockchain katiwasayan matatag na Peckshield sa simula iniulat ang pag-atake noong Disyembre 23, 2022.
Nawalan ng $12 Milyon ang mga Defrost Client
Ang hacker ay naiulat na nag-drain ng $173,000 sa pamamagitan ng isang flash loan attack na na-level sa Defrost's V1 protocol. Sa isang mas makabuluhang pag-atake ng V2, ninakaw ng isang salarin ang $12 milyon sa pamamagitan ng pagpuksa sa mga posisyon ng mga user sa pamamagitan ng pekeng collateral token at isang nakakahamak na presyo orakulo. Mga umaatake mamaya nagnakaw daw $1.4 milyon mula sa cross-chain tech aggregator na Rubic Finance, na nagpapataas ng mga alalahanin tungkol sa mga kahinaan sa smart contract code.
Nagaganap ang mga liquidation sa DeFi kapag ang halaga ng collateral ng isang user ay mas mababa sa minimum na loan-to-value ratio ng isang lending protocol. Ang mga protocol ng Stablecoin tulad ng Defrost ay nagbibigay-daan sa mga user na magdeposito ng collateral para sa permanenteng stablecoin loan. Ang protocol ay gumagamit ng isang algorithmically-adjusted stability fee upang itakda ang interes ng loan. Ang pagpapakilala ng pekeng collateral sa V2 ay malamang na nakompromiso ang mga Defrost user ng loan-to-value ratios, na humahantong sa kanilang mga pagpuksa.
Ang Mga Pag-audit ng CertiK ay Nagbubunyag ng Mga Isyu sa Sentralisasyon
Kapwa hack nakatawag pansin sa mga konklusyon na maaaring makuha mula sa matalinong pag-audit ng code ng kontrata kapag tinatasa ang pagiging lehitimo ng isang DeFi proyekto. Nasangkot ang Blockchain security firm na CertiK sa parehong mga hack, kung saan ang Defrost at Rubic ay sumailalim sa mga pag-audit ng code ng kumpanya.
CertiK ini-audit I-defrost ang mga smart contract ng V1 noong Nob. 2021, na naglilista ng kritikal na isyu sa lohika at limang isyu na nauugnay sa sentralisasyon. Ang una ay nalutas sa oras ng press, habang ang huli ay kinilala nang walang katibayan ng karagdagang trabaho. Ang isang isyu sa lohika, na kolokyal na tinutukoy bilang isang 'bug,' ay nagbibigay-daan sa mga matalinong kontrata na gumana nang hindi tama nang hindi nag-crash. Sa kabilang banda, a isyu ng sentralisasyon maaaring maging sanhi ng kompromiso ng ilang entity kung ang isang hacker ay nakakuha ng access sa isang nakabahaging code block o variable.
CertiK din walang putol ilang mga isyu sa sentralisasyon sa matalinong kontrata ng SwapContract ng Rubic Finance, isa sa mga ito ay magbibigay-daan sa isang hacker na bawiin ang ETH/BNB at iba pang mga token sa address ng hacker.
Hindi Pinapalitan ng Mga Pag-audit ang Common Sense
Sa halip na mag-endorso ng proyekto o mga asset nito, sinusuri ng CertiK ang katatagan ng mga smart contract sa iba't ibang attack vectors. Tinatasa din nito ang pagsunod ng mga kontrata sa mga katanggap-tanggap na pamantayan sa coding at inihahambing ang mga matalinong kontrata ng isang proyekto sa mga ginawa ng mga pinuno ng industriya.
Ang maingat na pagsusuri sa website ng CertiK ay nagpapakita na ang kumpanya ay nag-audit lamang ng code na ibinigay ng DeFi protocol. Pinapayuhan nito ang mga interesadong mamumuhunan na magsagawa ng kanilang sariling angkop na pagsusumikap. Bukod pa rito, naglalaman ang mga ulat nito ng sumusunod na disclaimer:
"Ang posisyon ng CertiK ay ang bawat kumpanya at indibidwal ay may pananagutan para sa kanilang sariling angkop na pagsisikap at patuloy na seguridad. Ang layunin ng CertiK ay tumulong na bawasan ang mga vector ng pag-atake at ang mataas na antas ng pagkakaiba-iba na nauugnay sa paggamit ng bago at patuloy na pagbabago ng mga teknolohiya, at sa anumang paraan ay hindi nag-aangkin ng anumang garantiya ng seguridad o functionality ng teknolohiyang sinasang-ayunan naming suriin."
Bagama't hindi ang kumpletong larawan, ang mga ulat na ito ay maaaring magbigay ng insight sa mga panganib ng isang proyekto, na tumutulong na ipaalam sa mga interesadong partido ang tungkol sa isang proyekto. Ang anumang iminungkahing pagbabago sa smart contract code ay maaaring sumailalim sa pamantayan ng protocol pagboto pamamaraan nang walang interbensyon ng gobyerno.
Coinbase CEO Brian Armstrong advocates na ang mga protocol ng DeFi ay protektado ng malayang pananalita sa United States sa halip na kontrolin ng mga batas na namamahala sa mga negosyong serbisyo sa pananalapi.
For Be[In]Crypto's latest Bitcoin (BTC) pagtatasa, pindutin dito.
Pagtanggi sa pananagutan
Nakipag-ugnayan ang BeInCrypto sa kumpanya o indibidwal na kasangkot sa kuwento upang makakuha ng opisyal na pahayag tungkol sa mga kamakailang pag-unlad, ngunit hindi pa ito nakakarinig.
Pinagmulan: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/