Certik vidí 12 milionů dolarů zpět z Crypto Exploit Through Audit

Ekologický stabilní koňak projekt Defrost Finance vrátí 12 milionů dolarů ve finančních prostředcích odcizených do 23. prosince 2022, zneužití, přestože prošel auditem kódu společností CertiK.

Odmrazit použije údaje o řetězci, aby bylo zajištěno správné přidělení odcizených prostředků. Vrácení peněz přichází poté, co útočník zneužil chyby v několika chytrých smlouvách Defrost. Blockchain zabezpečení zpočátku firma Peckshield hlášeny útok z 23. prosince 2022.

Klienti rozmrazování přijdou o 12 milionů dolarů

Hacker údajně vyčerpal 173,000 1 $ prostřednictvím bleskového útoku na půjčku na úrovni protokolu V2 společnosti Defrost. Při významnějším útoku V12 pachatel ukradl XNUMX milionů dolarů likvidací pozic uživatelů prostřednictvím falešného kolaterálního tokenu a škodlivé ceny. věštec. Útočníci později údajně ukradl 1.4 milionu dolarů od cross-chain tech agregátoru Rubic Finance, což vyvolává obavy ohledně zranitelnosti v kódu inteligentních smluv.

K likvidacím dochází v DeFi když hodnota zajištění uživatele klesne pod minimální poměr úvěru k hodnotě úvěrového protokolu. Protokoly Stablecoin, jako je Defrost, umožňují uživatelům vkládat kolaterál pro trvalou půjčku stablecoinů. Protokol používá k nastavení úroku půjčky algoritmicky upravený poplatek za stabilitu. Zavedení falešného kolaterálu do V2 pravděpodobně ohrozilo poměr úvěru k hodnotě uživatelů Defrost, což vedlo k jejich likvidaci.

Audity CertiK odhalují problémy s centralizací

Oba hacky upozornili na závěry, které lze vyvodit z auditů kódu inteligentních smluv při posuzování oprávněnosti a DeFi projekt. Blockchain bezpečnostní firma CertiK byla zapletena do obou hacků, přičemž Defrost a Rubic prošly auditem kódu ze strany společnosti. 

CertiK auditováno Rozmrazte chytré smlouvy V1 v listopadu 2021, které obsahují kritický logický problém a pět problémů souvisejících s centralizací. První byl vyřešen v době tisku, zatímco druhý byl uznán bez důkazů o další práci. Logický problém, hovorově označovaný jako „chyba“, umožňuje, aby chytré smlouvy fungovaly nesprávně, aniž by došlo k selhání. Na druhou stranu a problém centralizace může způsobit kompromitaci několika entit, pokud hacker získá přístup ke sdílenému bloku kódu nebo proměnné.

CertiK také odkrytý několik problémů s centralizací v inteligentní smlouvě SwapContract Rubic Finance, z nichž jeden by hackerovi umožnil stáhnout ETH/BNB a další tokeny na hackerovu adresu.

Audity nenahrazují zdravý rozum

Spíše než schvalování projektu nebo jeho aktiv testuje CertiK odolnost chytrých kontraktů vůči různým vektorům útoků. Posuzuje také soulad smluv s přijatelnými standardy kódování a porovnává chytré smlouvy projektu s těmi, které vytvořili přední výrobci. 

Pečlivé prozkoumání webu CertiK ukazuje, že společnost kontroluje pouze kód poskytovaný protokolem DeFi. Doporučuje zainteresovaným investorům, aby provedli vlastní due diligence. Jeho zprávy navíc obsahují následující prohlášení:

„Pozice CertiK je taková, že každá společnost a jednotlivec jsou zodpovědní za vlastní due diligence a trvalé zabezpečení. Cílem CertiK je pomoci snížit vektory útoků a vysokou úroveň odchylek spojených s používáním nových a neustále se měnících technologií a v žádném případě si nenárokuje žádnou záruku bezpečnosti nebo funkčnosti technologie, kterou souhlasíme s analýzou.

Tyto zprávy sice neposkytují úplný obrázek, ale mohou poskytnout vhled do rizik projektu a pomoci informovat zainteresované strany o projektu. Jakékoli navrhované změny kódu inteligentní smlouvy mohou podléhat standardu protokolu hlasování postup bez vládních zásahů. 

Coinbase generální ředitel Brian Armstrong obhájci aby protokoly DeFi byly ve Spojených státech chráněny svobodou projevu, spíše než aby byly regulovány zákony upravujícími podniky finančních služeb.

Pro nejnovější Be[In]Crypto Bitcoin (BTC) analýza, klikněte zde.