Decentralized leverage trading protocol Defrost Finance, na kamakailan ay nagsiwalat na ang protocol nito ay pinagsamantalahan para sa humigit-kumulang $12 milyon sa pamamagitan ng V1 at V2 na mga produkto nito, ay naglabas ng update na nagsasaad na ibinalik ng V1 attacker ang mga pinagsasamantalahang pondo.
“Sa lalong madaling panahon ay sisimulan na naming i-scan ang data na on-chain para malaman kung sino ang nagmamay-ari ng ano bago ang hack para maibalik ang mga ito sa mga nararapat na may-ari. Dahil ang iba't ibang user ay may variable na proporsyon ng mga asset at utang, ang prosesong ito ay maaaring tumagal ng kaunting [oras], "sabi ng Defrost Finance devs sa pamamagitan ng isang .
Ayon sa koponan, ang unang pag-atake ay nagsasangkot ng paggamit ng isang flash loan sequence upang maubos ang mga pondo mula sa V2 na produkto nito. Ang isa pang pagsasamantala ay inilunsad gamit ang key ng may-ari, na nakakuha ng access sa produkto ng Defrost Finance na V1.
Sa mga desentralisadong protocol sa pananalapi, nagaganap ang mga pagpuksa kapag ang halaga ng collateral ng isang user ay mas mababa sa minimum na ratio ng loan-to-value ng isang protocol. Nagbibigay-daan ang Defrost sa mga user na magdeposito ng collateral para sa isang loan, na ginagamit ng protocol para kalkulahin ang rate ng interes sa loan na iyon. Ang pekeng collateral na ipinakilala sa V2 ay malamang na nakompromiso ang mga ratio ng loan-to-value ng mga user, na humahantong sa kanilang mga pagpuksa.
Ang protocol ay binuo sa ibabaw ng Avalanche blockchain. Ang nakakapagtaka ay ang mga blockchain security firm tulad ng Peckshield ay nag-claim na ang pag-atake ay higit pa sa isang inside job, at ito ay itinuturing na isang rug pull.
Ang CertiK, isa pang blockchain security at auditing firm, ay kinumpirma na hindi nila nagawang makipag-ugnayan sa Defrost Finance team, na humantong sa pag-post ng firm ng babala sa Twitter account nito na nagsasaad na ang Defrost Finance hack ay sa halip ay isang exit scam. Sa oras ng pagsulat, ang opisyal na Twitter account ng Defrost Finance ay maaaring hindi makatanggap ng mensahe o na-pre-configure na na huwag gawin ito.
Noong Nobyembre 2021, in-awdit ng CertiK ang mga matalinong kontrata ng Defrost V1 at naglista ng kritikal na isyu sa lohika at limang isyu na nauugnay sa sentralisasyon. Ang parehong mga isyu ay nalutas sa oras ng press; ang una ay kinilala nang walang katibayan ng karagdagang trabaho, habang ang huli ay kinilala na may katibayan ng karagdagang trabaho.
Ang terminong "bug" ay tumutukoy sa isang logic na isyu, na maaaring maging sanhi ng mga smart contract na gumana nang hindi tama nang hindi nag-crash. Nagaganap ang mga isyu sa lohika kapag hindi gumana ang mga smart contract ayon sa nilalayon, samantalang ang mga isyu sa sentralisasyon ay resulta ng pagkakaroon ng access ng hacker sa mga nakabahaging bloke o variable ng code.
Inihayag ng mga paunang ulat sa pagsasamantala na humigit-kumulang $173,000 ang naubos sa pamamagitan ng V1 protocol, habang ang isa pang $1.4 milyon ay kinuha sa pamamagitan ng Rubic Finance, isang cross-chain aggregator na naka-link sa Defrost Finance. Ang mga ito, kasama ang $12 milyon na heist sa V2 na produkto nito, ay nagtaas ng mga alalahanin tungkol sa katatagan at seguridad ng protocol sa mga tuntunin ng smart contract code nito, na pinag-uusapan ang isyu ng sentralisasyon sa buong ecosystem nito.
Pinagmulan: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered