Ökologisch Stablecoin Das Projekt Defrost Finance wird 12 Millionen Dollar an Geldern zurückgeben, die bis zum 23. Dezember 2022 gestohlen wurden, Exploit, obwohl es einer Code-Prüfung durch CertiK unterzogen wurde.
Entfrosten wird benutzen On-Chain-Daten, um die korrekte Zuordnung der gestohlenen Gelder sicherzustellen. Die Rückerstattung erfolgt, nachdem ein Angreifer Fehler in mehreren Defrost Smart Contracts ausgenutzt hat. Blockchain Sicherheitdienst festen Peckshield zunächst berichtet der Angriff am 23. Dezember 2022.
Defrost-Kunden verlieren 12 Millionen Dollar
Berichten zufolge hat der Hacker 173,000 US-Dollar durch einen Flash-Darlehensangriff auf das V1-Protokoll von Defrost abgezogen. Bei einem bedeutenderen V2-Angriff stahl ein Täter 12 Millionen US-Dollar, indem er die Positionen der Benutzer durch ein gefälschtes Sicherheiten-Token und einen böswilligen Preis liquidierte Orakel. Angreifer später angeblich gestohlen 1.4 Millionen US-Dollar vom Cross-Chain-Tech-Aggregator Rubic Finance, was Bedenken hinsichtlich Schwachstellen im Smart-Contract-Code aufwirft.
Liquidationen erfolgen in DeFi wenn der Wert der Sicherheit eines Benutzers unter das minimale Beleihungsverhältnis eines Kreditprotokolls fällt. Stablecoin-Protokolle wie Defrost ermöglichen es Benutzern, Sicherheiten für ein unbefristetes Stablecoin-Darlehen zu hinterlegen. Das Protokoll verwendet eine algorithmisch angepasste Stabilitätsgebühr, um die Zinsen des Darlehens festzulegen. Die Einführung gefälschter Sicherheiten in V2 hat wahrscheinlich die Loan-to-Value-Verhältnisse der Defrost-Benutzer beeinträchtigt und zu ihrer Liquidation geführt.
CertiK-Audits decken Zentralisierungsprobleme auf
Beide Hacks haben auf die Schlussfolgerungen hingewiesen, die aus Smart Contract Code Audits bei der Beurteilung der Legitimität von a gezogen werden können DeFi Projekt. Die Blockchain-Sicherheitsfirma CertiK war in beide Hacks verwickelt, wobei Defrost und Rubic Code-Audits durch das Unternehmen unterzogen wurden.
CertiK geprüft Entfrosten Sie die intelligenten Verträge von V1 im November 2021 und listen Sie ein kritisches Logikproblem und fünf Probleme im Zusammenhang mit der Zentralisierung auf. Ersteres war zum Zeitpunkt der Drucklegung gelöst worden, während letzteres ohne Beweise für weitere Arbeiten bestätigt wurde. Ein logisches Problem, umgangssprachlich als „Bug“ bezeichnet, ermöglicht es Smart Contracts, falsch zu funktionieren, ohne abzustürzen. Andererseits ist A Zentralisierungsproblem kann die Kompromittierung mehrerer Entitäten verursachen, wenn ein Hacker Zugriff auf einen gemeinsam genutzten Codeblock oder eine gemeinsam genutzte Variable erhält.
CertiK auch ausgegraben mehrere Zentralisierungsprobleme im SwapContract Smart Contract von Rubic Finance, von denen einer es einem Hacker ermöglichen würde, ETH/BNB und andere Token an die Adresse des Hackers abzuheben.
Audits ersetzen nicht den gesunden Menschenverstand
Anstatt ein Projekt oder seine Vermögenswerte zu unterstützen, testet CertiK die Widerstandsfähigkeit von Smart Contracts gegenüber verschiedenen Angriffsvektoren. Es bewertet auch die Übereinstimmung der Verträge mit akzeptablen Codierungsstandards und vergleicht die intelligenten Verträge eines Projekts mit denen, die von Branchenführern erstellt wurden.
Eine sorgfältige Prüfung der Website von CertiK zeigt, dass das Unternehmen nur den vom DeFi-Protokoll bereitgestellten Code prüft. Sie rät interessierten Investoren, eine eigene Due Diligence durchzuführen. Darüber hinaus enthalten seine Berichte den folgenden Haftungsausschluss:
„Die Position von CertiK ist, dass jedes Unternehmen und jeder Einzelne für seine eigene Sorgfaltspflicht und kontinuierliche Sicherheit verantwortlich ist. Das Ziel von CertiK ist es, die Angriffsvektoren und die hohe Varianz zu reduzieren, die mit der Verwendung neuer und sich ständig ändernder Technologien verbunden sind, und beansprucht in keiner Weise eine Garantie für die Sicherheit oder Funktionalität der Technologie, deren Analyse wir zustimmen.“
Obwohl sie nicht das vollständige Bild darstellen, können diese Berichte einen Einblick in die Risiken eines Projekts geben und dazu beitragen, interessierte Parteien über ein Projekt zu informieren. Alle vorgeschlagenen Änderungen am Smart-Contract-Code können einem Protokollstandard unterzogen werden Abstimmung Verfahren ohne staatliche Eingriffe.
Brian Armstrong, CEO von Coinbase Befürworter dass DeFi-Protokolle durch die Meinungsfreiheit in den Vereinigten Staaten geschützt werden und nicht durch Gesetze reguliert werden, die Finanzdienstleistungsunternehmen regeln.
Für das Neueste von Be[In]Crypto Bitcoin (BTC) Analyse, Klicke hier.
Haftungsausschluss
BeInCrypto hat sich an Unternehmen oder Einzelpersonen gewandt, die an der Geschichte beteiligt sind, um eine offizielle Erklärung zu den jüngsten Entwicklungen zu erhalten, aber es muss noch eine Antwort erhalten.
Quelle: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/