Økologisk stablecoin project Defrost Finance vil returnere 12 millioner dollars i midler stjålet til og med den 23. december 2022, udnytte, på trods af at de har gennemgået en koderevision af CertiK.
Optøning vil bruge on-chain data for at sikre den korrekte fordeling af de stjålne midler. Tilbagebetalingen kommer efter, at en hacker har udnyttet fejl i flere Defrost-smarte kontrakter. Blockchain sikkerhed fast Peckshield i første omgang rapporteret angrebet den 23. december 2022.
Afrimningsklienter mister $12 millioner
Hackeren har efter sigende drænet $173,000 gennem et flashlånsangreb udjævnet på Defrosts V1-protokol. I et mere betydningsfuldt V2-angreb stjal en gerningsmand $12 millioner ved at likvidere brugernes positioner gennem et falsk sikkerhedsstillelsestoken og en ondsindet pris oracle. Angribere senere angiveligt stjålet 1.4 millioner dollars fra teknologisamleren Rubic Finance på tværs af kæder, hvilket giver anledning til bekymring over sårbarheder i smart kontraktkode.
Likvidationer sker i Defi når værdien af en brugers sikkerhed falder under en låneprotokols minimumsbelåningsgrad. Stablecoin-protokoller som Defrost giver brugerne mulighed for at indsætte sikkerhed for et evigt stablecoin-lån. Protokollen bruger et algoritmisk justeret stabilitetsgebyr til at fastsætte lånets rente. Indførelsen af falsk sikkerhed til V2 kompromitterede sandsynligvis Defrost-brugeres belåningsgrad, hvilket førte til deres likvidationer.
CertiK-revisioner afslører centraliseringsproblemer
Både hacks har henledt opmærksomheden på de konklusioner, der kan drages fra revision af smart kontraktkodeks, når man vurderer legitimiteten af en Defi projekt. Blockchain-sikkerhedsfirmaet CertiK var impliceret i begge hacks, hvor Defrost og Rubic havde gennemgået koderevisioner af virksomheden.
CertiK revideres Afrim V1's smarte kontrakter i november 2021 med en liste over et kritisk logikproblem og fem problemer relateret til centralisering. Førstnævnte var blevet løst på pressetidspunktet, mens sidstnævnte blev kvitteret uden bevis for yderligere arbejde. Et logisk problem, i daglig tale omtalt som en 'bug', gør det muligt for smarte kontrakter at fungere forkert uden at gå ned. På den anden side, en centraliseringsspørgsmål kan forårsage kompromittering af flere enheder, hvis en hacker får adgang til en delt kodeblok eller variabel.
CertiK også udgravet flere centraliseringsproblemer i Rubic Finances SwapContract smart kontrakt, hvoraf den ene ville gøre det muligt for en hacker at trække ETH/BNB og andre tokens tilbage til hackerens adresse.
Audits erstatter ikke sund fornuft
I stedet for at godkende et projekt eller dets aktiver, tester CertiK smarte kontrakters modstandsdygtighed over for forskellige angrebsvektorer. Den vurderer også kontrakternes overensstemmelse med acceptable kodningsstandarder og sammenligner et projekts smarte kontrakter med dem, der er produceret af industriledere.
En omhyggelig undersøgelse af CertiKs hjemmeside afslører, at virksomheden kun reviderer kode leveret af DeFi-protokollen. Det råder interesserede investorer til at udføre deres egen due diligence. Derudover indeholder dens rapporter følgende ansvarsfraskrivelse:
”CertiKs holdning er, at hver virksomhed og enkeltperson er ansvarlig for deres egen due diligence og løbende sikkerhed. CertiKs mål er at hjælpe med at reducere angrebsvektorerne og det høje niveau af varians, der er forbundet med at bruge nye og konsekvent skiftende teknologier, og påstår på ingen måde nogen garanti for sikkerheden eller funktionaliteten af den teknologi, vi accepterer at analysere."
Selvom det ikke er det komplette billede, kan disse rapporter give indsigt i et projekts risici og hjælpe med at informere interesserede parter om et projekt. Enhver foreslået ændring af den smarte kontraktkode kan gennemgå en protokols standard afstemning procedure uden statslig indblanding.
Coinbase CEO Brian Armstrong fortalere at DeFi-protokoller skal beskyttes af ytringsfrihed i USA i stedet for at blive reguleret af love, der regulerer finansielle tjenesteydelser.
For Be[In]Cryptos seneste Bitcoin (BTC) analyse, Klik her.
Ansvarsfraskrivelse
BeInCrypto har kontaktet virksomhed eller person involveret i historien for at få en officiel erklæring om den seneste udvikling, men den har endnu ikke hørt tilbage.
Kilde: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/