Il progetto di stablecoin ecologico Defrost Finance restituirà $ 12 milioni in fondi rubati fino al 23 dicembre 2022, exploit, nonostante sia stato sottoposto a un audit del codice da parte di CertiK.
Defrost utilizzerà i dati on-chain per garantire la corretta allocazione dei fondi rubati. Il rimborso arriva dopo che un utente malintenzionato ha sfruttato i difetti in più contratti intelligenti di Defrost. La società di sicurezza blockchain Peckshield ha inizialmente segnalato l'attacco il 23 dicembre 2022.
I client di sbrinamento perdono $ 12 milioni
Secondo quanto riferito, l'hacker ha prosciugato $ 173.000 attraverso un attacco di prestito lampo livellato al protocollo V1 di Defrost. In un attacco V2 più significativo, un autore ha rubato 12 milioni di dollari liquidando le posizioni degli utenti attraverso un token collaterale falso e un oracolo dei prezzi dannoso. Gli aggressori in seguito avrebbero rubato 1,4 milioni di dollari dall'aggregatore tecnologico cross-chain Rubic Finance, sollevando preoccupazioni sulle vulnerabilità nel codice del contratto intelligente.
Le liquidazioni si verificano in DeFi quando il valore della garanzia di un utente scende al di sotto del rapporto prestito/valore minimo di un protocollo di prestito. I protocolli di stablecoin come Defrost consentono agli utenti di depositare garanzie per un prestito perpetuo di stablecoin. Il protocollo utilizza una commissione di stabilità regolata algoritmicamente per impostare l'interesse del prestito. L'introduzione di false garanzie su V2 ha probabilmente compromesso i rapporti prestito/valore degli utenti di Defrost, portando alla loro liquidazione.
Gli audit CertiK rivelano problemi di centralizzazione
Entrambi gli hack hanno attirato l'attenzione sulle conclusioni che si possono trarre dagli audit del codice del contratto intelligente quando si valuta la legittimità di un progetto DeFi. La società di sicurezza blockchain CertiK è stata coinvolta in entrambi gli attacchi, con Defrost e Rubic che sono stati sottoposti a controlli del codice da parte della società.
CertiK ha verificato i contratti intelligenti di Defrost V1 nel novembre 2021, elencando un problema logico critico e cinque problemi relativi alla centralizzazione. Il primo era stato risolto al momento della stampa, mentre il secondo è stato riconosciuto senza prove di ulteriori lavori. Un problema logico, colloquialmente denominato "bug", consente ai contratti intelligenti di funzionare in modo errato senza arresti anomali. D'altra parte, un problema di centralizzazione può causare la compromissione di diverse entità se un hacker ottiene l'accesso a un blocco di codice condiviso oa una variabile.
CertiK ha anche scoperto diversi problemi di centralizzazione nel contratto intelligente SwapContract di Rubic Finance, uno dei quali consentirebbe a un hacker di prelevare ETH/BNB e altri token all'indirizzo dell'hacker.
Gli audit non sostituiscono il buon senso
Invece di approvare un progetto o le sue risorse, CertiK testa la resilienza dei contratti intelligenti a vari vettori di attacco. Valuta inoltre la conformità dei contratti con standard di codifica accettabili e confronta i contratti intelligenti di un progetto con quelli prodotti dai leader del settore.
Un attento esame del sito Web di CertiK rivela che la società controlla solo il codice fornito dal protocollo DeFi. Consiglia agli investitori interessati di condurre la propria due diligence. Inoltre, i suoi rapporti contengono il seguente disclaimer:
“La posizione di CertiK è che ogni azienda e individuo sia responsabile della propria due diligence e sicurezza continua. L'obiettivo di CertiK è aiutare a ridurre i vettori di attacco e l'elevato livello di varianza associato all'utilizzo di tecnologie nuove e in continua evoluzione, e non rivendica in alcun modo alcuna garanzia di sicurezza o funzionalità della tecnologia che accettiamo di analizzare".
Sebbene non forniscano un quadro completo, questi report possono fornire informazioni sui rischi di un progetto, contribuendo a informare le parti interessate su un progetto. Eventuali modifiche proposte al codice del contratto intelligente possono essere sottoposte alla procedura di voto standard di un protocollo senza l'intervento del governo .
Il CEO di Coinbase Brian Armstrong sostiene che i protocolli DeFi siano protetti dalla libertà di parola negli Stati Uniti piuttosto che essere regolati dalle leggi che regolano le attività di servizi finanziari.
Per l'ultima analisi di Bitcoin (BTC) di Be[In]Crypto, fai clic qui .
Il post CertiK Audits Under Scrutiny as Client Recover $12 Million in Stolen Funds è apparso per la prima volta su BeInCrypto .