O protocolo de negociação de alavancagem descentralizada Defrost Finance, que recentemente divulgou que seu protocolo foi explorado por cerca de US$ 12 milhões por meio de seus produtos V1 e V2, emitiu uma atualização informando que o invasor V1 devolveu os fundos explorados.
“Em breve, começaremos a escanear os dados na cadeia para descobrir quem era o dono do quê antes do hack, a fim de devolvê-los aos legítimos proprietários. Como diferentes usuários tinham proporções variáveis de ativos e dívidas, esse processo pode demorar um pouco [tempo]”, afirmaram os desenvolvedores do Defrost Finance por meio de um .
De acordo com a equipe, o primeiro ataque envolveu o uso de uma sequência de empréstimo rápido para drenar fundos de seu produto V2. Outra exploração foi lançada usando a chave do proprietário, obtendo acesso ao produto V1 da Defrost Finance.
Em protocolos financeiros descentralizados, as liquidações ocorrem quando o valor da garantia de um usuário fica abaixo da relação empréstimo-valor mínima de um protocolo. O Defrost permite que os usuários depositem garantias para um empréstimo, que o protocolo usa para calcular a taxa de juros desse empréstimo. As garantias falsas introduzidas no V2 provavelmente comprometeram os índices de valor do empréstimo dos usuários, levando a suas liquidações.
O protocolo é construído sobre o blockchain Avalanche. O curioso é que as empresas de segurança de blockchain, como a Peckshield, alegaram que o ataque foi mais um trabalho interno e foi considerado um puxão de tapete.
A CertiK, outra empresa de segurança e auditoria de blockchain, confirmou que não conseguiu estabelecer contato com a equipe da Defrost Finance, levando a empresa a postar um aviso em sua conta no Twitter que indicava que o hack da Defrost Finance era um golpe de saída. No momento da redação deste artigo, a conta oficial do Defrost Finance no Twitter pode não receber mensagens ou já estar pré-configurada para não receber.
Em novembro de 2021, a CertiK auditou os contratos inteligentes do Defrost V1 e listou um problema lógico crítico e cinco problemas relacionados à centralização. Ambos os problemas foram resolvidos no momento desta publicação; o primeiro foi reconhecido sem evidências de trabalho adicional, enquanto o último foi reconhecido com evidências de trabalho adicional.
O termo “bug” refere-se a um problema lógico, que pode fazer com que os contratos inteligentes funcionem incorretamente sem travar. Os problemas lógicos ocorrem quando os contratos inteligentes não funcionam como pretendido, enquanto os problemas de centralização são resultado de um hacker obtendo acesso a variáveis ou blocos de código compartilhados.
Os relatórios iniciais sobre a exploração revelaram que cerca de US$ 173,000 foram drenados por meio do protocolo V1, enquanto outros US$ 1.4 milhão foram obtidos por meio do Rubic Finance, um agregador de cadeia cruzada vinculado ao Defrost Finance. Estes, juntamente com o roubo de $ 12 milhões em seu produto V2, levantaram preocupações sobre a estabilidade e segurança do protocolo em termos de seu código de contrato inteligente, colocando em questão a questão da centralização em seu ecossistema.
Fonte: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered