Ecológico stablecoin o projeto Defrost Finance devolverá US$ 12 milhões em fundos roubados até 23 de dezembro de 2022, exploração, apesar de passar por uma auditoria de código da CertiK.
Descongelar usará dados na cadeia para garantir a alocação correta dos fundos roubados. O reembolso ocorre depois que um invasor explorou falhas em vários contratos inteligentes do Defrost. Blockchain segurança Peckshield firme inicialmente relatado o ataque em 23 de dezembro de 2022.
Clientes de descongelamento perdem US$ 12 milhões
O hacker supostamente drenou $ 173,000 por meio de um ataque de empréstimo instantâneo nivelado no protocolo V1 do Defrost. Em um ataque V2 mais significativo, um perpetrador roubou US$ 12 milhões ao liquidar as posições dos usuários por meio de um token colateral falso e um preço malicioso oráculo. Atacantes depois supostamente roubou US$ 1.4 milhão do agregador de tecnologia de cadeia cruzada Rubic Finance, levantando preocupações sobre vulnerabilidades no código de contrato inteligente.
As liquidações ocorrem em DeFi quando o valor da garantia de um usuário cai abaixo do rácio empréstimo-valor mínimo de um protocolo de empréstimo. Protocolos de stablecoin como o Defrost permitem que os usuários depositem garantias para um empréstimo perpétuo de stablecoin. O protocolo usa uma taxa de estabilidade ajustada por algoritmos para definir os juros do empréstimo. A introdução de garantias falsas no V2 provavelmente comprometeu os índices de valor do empréstimo dos usuários do Defrost, levando a suas liquidações.
Auditorias da CertiK revelam problemas de centralização
Ambos hacks chamaram a atenção para as conclusões que podem ser tiradas das auditorias de códigos de contratos inteligentes ao avaliar a legitimidade de um DeFi projeto. A empresa de segurança Blockchain CertiK foi implicada em ambos os hacks, com Defrost e Rubic tendo sido submetidos a auditorias de código pela empresa.
CertiK auditadas Descongele os contratos inteligentes do V1 em novembro de 2021, listando um problema lógico crítico e cinco problemas relacionados à centralização. O primeiro foi resolvido no momento desta publicação, enquanto o último foi reconhecido sem evidências de trabalho adicional. Um problema lógico, coloquialmente conhecido como 'bug', permite que os contratos inteligentes operem incorretamente sem travar. Por outro lado, um problema de centralização pode causar o comprometimento de várias entidades se um hacker obtiver acesso a um bloco ou variável de código compartilhado.
CertiK também desenterrado vários problemas de centralização no contrato inteligente SwapContract da Rubic Finance, um dos quais permitiria que um hacker retirasse ETH/BNB e outros tokens para o endereço do hacker.
Auditorias não substituem o bom senso
Em vez de endossar um projeto ou seus ativos, a CertiK testa a resiliência dos contratos inteligentes a vários vetores de ataque. Ele também avalia a conformidade dos contratos com os padrões de codificação aceitáveis e compara os contratos inteligentes de um projeto com os produzidos pelos líderes do setor.
Um exame minucioso do site da CertiK revela que a empresa apenas audita o código fornecido pelo protocolo DeFi. Ele aconselha os investidores interessados a realizar sua própria diligência. Além disso, seus relatórios contêm o seguinte aviso:
“A posição da CertiK é que cada empresa e indivíduo seja responsável por sua própria diligência e segurança contínua. O objetivo da CertiK é ajudar a reduzir os vetores de ataque e o alto nível de variação associados à utilização de tecnologias novas e em constante mudança, e de forma alguma reivindica qualquer garantia de segurança ou funcionalidade da tecnologia que concordamos em analisar.”
Embora não seja o quadro completo, esses relatórios podem fornecer informações sobre os riscos de um projeto, ajudando a informar as partes interessadas sobre um projeto. Quaisquer alterações propostas no código do contrato inteligente podem passar por um padrão de protocolo votação procedimentos sem intervenção do governo.
CEO da Coinbase, Brian Armstrong defensores que os protocolos DeFi sejam protegidos pela liberdade de expressão nos Estados Unidos, em vez de serem regulamentados por leis que regem as empresas de serviços financeiros.
Para o mais recente da Be[In]Crypto Bitcoin (BTC) análise, clique aqui.
Aviso Legal
O BeInCrypto entrou em contato com a empresa ou indivíduo envolvido na história para obter uma declaração oficial sobre os desenvolvimentos recentes, mas ainda não recebeu resposta.
Fonte: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/