Еколошки стабилен проектот Дефрост Финанс ќе врати 12 милиони долари во средства украдени преку експлоатација на 23 декември 2022 година, и покрај тоа што беше подложен на ревизија на кодот од CertiK.
Одмрзнување ќе го користи податоци во синџирот за да се обезбеди правилна распределба на украдените средства. Рефундирањето доаѓа откако напаѓачот ги искористи недостатоците во повеќе паметни договори за одмрзнување. Блокчејн безбедност фирмата Peckshield првично пријавени нападот на 23 декември 2022 година.
Клиентите на одмрзнување губат 12 милиони долари
Наводно, хакерот исцедил 173,000 американски долари преку напад на флеш заем, израмнет на протоколот V1 на Дефрост. Во позначајниот V2 напад, сторителот украл 12 милиони долари со ликвидирање на позициите на корисниците преку лажен колатерален токен и злонамерна цена Oracle. Напаѓачите подоцна наводно украл 1.4 милиони долари од технолошкиот агрегатор на вкрстени синџири Rubic Finance, што предизвикува загриженост за ранливости во кодот за паметни договори.
Ликвидации се случуваат во на определен обем, кога вредноста на колатералот на корисникот паѓа под минималниот однос на заемот и вредноста на протоколот за заем. Протоколите на Stablecoin како Defrost им овозможуваат на корисниците да депонираат колатерал за вечен заем за стабилкоин. Протоколот користи алгоритамски прилагодена провизија за стабилност за одредување на каматата на заемот. Воведувањето на лажен колатерал во V2 веројатно го загрози односот заем-вредност на корисниците на Defrost, што доведе до нивна ликвидација.
Ревизиите на CertiK откриваат проблеми со централизацијата
Двете хакове го привлекоа вниманието на заклучоците што може да се извлечат од ревизии на кодови на паметни договори при проценка на легитимноста на на определен обем, проект. Безбедносната компанија за блокчејн CertiK беше вмешана во двата хакери, при што Defrost и Rubic беа подложени на ревизија на кодот од компанијата.
Сертификат ревизија Одмрзнете ги паметните договори на V1 во ноември 2021 година, наведувајќи критичко логичко прашање и пет прашања поврзани со централизацијата. Првото беше решено на прес-време, додека второто беше признаено без докази за понатамошна работа. Логичко прашање, колоквијално наречено „бубачка“, им овозможува на паметните договори да работат погрешно без да паѓаат. Од друга страна, А прашање на централизација може да предизвика компромис на неколку ентитети ако хакерот добие пристап до блок или променлива споделена код.
CertiK исто така откопани неколку прашања за централизација во паметниот договор за SwapContract на Rubic Finance, од кои едното ќе му овозможи на хакерот да повлече ETH/BNB и други токени на адресата на хакерот.
Ревизиите не го заменуваат здравиот разум
Наместо да одобрува проект или неговите средства, CertiK ја тестира отпорноста на паметните договори на различни вектори на напад. Исто така, ја проценува усогласеноста на договорите со прифатливите стандарди за кодирање и ги споредува паметните договори на проектот со оние произведени од лидерите во индустријата.
Внимателната проверка на веб-страницата на CertiK открива дека компанијата го ревидира само кодот обезбеден со протоколот DeFi. Ги советува заинтересираните инвеститори да спроведат сопствена длабинска анализа. Дополнително, неговите извештаи го содржат следново одрекување:
„Ставот на CertiK е дека секоја компанија и поединец се одговорни за сопствената длабинска анализа и континуираната безбедност. Целта на CertiK е да помогне да се намалат векторите на напад и високото ниво на варијанса поврзано со користење на нови и постојано променливи технологии и на ниту еден начин не бара никаква гаранција за безбедност или функционалност на технологијата што се согласуваме да ја анализираме“.
Иако не е целосна слика, овие извештаи можат да обезбедат увид во ризиците на проектот, помагајќи да се информираат заинтересираните страни за проектот. Сите предложени промени на кодот за паметни договори може да се подложат на стандард на протокол со право на глас постапка без владина интервенција.
Директор на Coinbase Брајан Армстронг се залагаат протоколите на DeFi да бидат заштитени со слобода на говор во Соединетите Држави наместо да бидат регулирани со закони кои ги регулираат бизнисите со финансиски услуги.
За најновото на Be[In]Crypto Bitcoin (БТК) анализа, Кликни тука.
Општи услови
BeInCrypto контактираше со компанија или поединец вклучен во приказната за да добие официјална изјава за неодамнешните случувања, но допрва треба да слушне.
Извор: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/