Οικολογικός σταθερόκοκκο Το project Defrost Finance θα επιστρέψει κεφάλαια 12 εκατομμυρίων δολαρίων που κλάπηκαν έως τις 23 Δεκεμβρίου 2022, για exploit, παρά το γεγονός ότι υποβλήθηκε σε έλεγχο κώδικα από την CertiK.
Απόψυξη θα χρησιμοποιήσω δεδομένα στην αλυσίδα για να διασφαλιστεί η σωστή κατανομή των κλεμμένων κεφαλαίων. Η επιστροφή χρημάτων έρχεται αφού ένας εισβολέας εκμεταλλεύτηκε ελαττώματα σε πολλαπλά έξυπνα συμβόλαια απόψυξης. Blockchain ασφάλεια εταιρεία Peckshield αρχικά αναφερθεί η επίθεση στις 23 Δεκεμβρίου 2022.
Οι πελάτες της απόψυξης χάνουν 12 εκατομμύρια δολάρια
Ο χάκερ φέρεται να αποστράγγισε 173,000 δολάρια μέσω μιας επίθεσης με δάνειο που ισοπέδωσε το πρωτόκολλο V1 της Defrost. Σε μια πιο σημαντική επίθεση V2, ένας δράστης έκλεψε 12 εκατομμύρια δολάρια ρευστοποιώντας τις θέσεις των χρηστών μέσω ενός πλαστού κουπόνι ασφάλειας και μιας κακόβουλης τιμής μαντείο. Οι επιτιθέμενοι αργότερα φέρεται να έκλεψε 1.4 εκατομμύρια δολάρια από τον συγκεντρωτή τεχνολογίας Rubic Finance, εγείροντας ανησυχίες για ευπάθειες στον κώδικα έξυπνων συμβολαίων.
Εκκαθαρίσεις γίνονται σε Defi όταν η αξία της εξασφάλισης ενός χρήστη πέφτει κάτω από την ελάχιστη αναλογία δανείου προς αξία ενός πρωτοκόλλου δανεισμού. Τα πρωτόκολλα Stablecoin όπως το Defrost επιτρέπουν στους χρήστες να καταθέτουν εξασφαλίσεις για ένα διαρκές δάνειο stablecoin. Το πρωτόκολλο χρησιμοποιεί μια αλγοριθμικά προσαρμοσμένη προμήθεια σταθερότητας για τον καθορισμό των τόκων του δανείου. Η εισαγωγή πλαστών εξασφαλίσεων στο V2 πιθανότατα έθεσε σε κίνδυνο τις αναλογίες δανείων προς αξία των χρηστών του Defrost, οδηγώντας σε ρευστοποίησή τους.
Οι έλεγχοι CertiK αποκαλύπτουν ζητήματα συγκεντροποίησης
Και τα δύο αμυχές έχουν επιστήσει την προσοχή στα συμπεράσματα που μπορούν να εξαχθούν από ελέγχους έξυπνων κωδικών συμβολαίου κατά την αξιολόγηση της νομιμότητας ενός Defi έργο. Η εταιρεία ασφάλειας Blockchain CertiK εμπλέκεται και στις δύο παραβιάσεις, με την Defrost και τη Rubic να έχουν υποβληθεί σε ελέγχους κώδικα από την εταιρεία.
CertiK ελεγχθεί Ξεπαγώστε τα έξυπνα συμβόλαια του V1 τον Νοέμβριο του 2021, αναφέροντας ένα κρίσιμο ζήτημα λογικής και πέντε ζητήματα που σχετίζονται με τη συγκέντρωση. Το πρώτο είχε επιλυθεί σε ώρα τύπου, ενώ το δεύτερο αναγνωρίστηκε χωρίς στοιχεία για περαιτέρω εργασία. Ένα ζήτημα λογικής, που στην καθομιλουμένη αναφέρεται ως «σφάλμα», επιτρέπει στα έξυπνα συμβόλαια να λειτουργούν εσφαλμένα χωρίς να κολλάνε. Από την άλλη πλευρά, α ζήτημα συγκεντρωτισμού μπορεί να προκαλέσει τον συμβιβασμό πολλών οντοτήτων εάν ένας χάκερ αποκτήσει πρόσβαση σε ένα κοινόχρηστο μπλοκ κώδικα ή μεταβλητή.
CertiK επίσης ανακαλυφθεί πολλά ζητήματα κεντροποίησης στο έξυπνο συμβόλαιο SwapContract της Rubic Finance, ένα από τα οποία θα επέτρεπε σε έναν χάκερ να αποσύρει ETH/BNB και άλλα διακριτικά στη διεύθυνση του χάκερ.
Οι έλεγχοι δεν αντικαθιστούν την κοινή λογική
Αντί να εγκρίνει ένα έργο ή τα περιουσιακά του στοιχεία, το CertiK δοκιμάζει την ανθεκτικότητα των έξυπνων συμβάσεων σε διάφορους φορείς επίθεσης. Αξιολογεί επίσης τη συμμόρφωση των συμβάσεων με αποδεκτά πρότυπα κωδικοποίησης και συγκρίνει τα έξυπνα συμβόλαια ενός έργου με αυτά που παράγονται από ηγέτες του κλάδου.
Η προσεκτική εξέταση του ιστότοπου της CertiK αποκαλύπτει ότι η εταιρεία ελέγχει μόνο τον κώδικα που παρέχεται από το πρωτόκολλο DeFi. Συμβουλεύει τους ενδιαφερόμενους επενδυτές να διεξάγουν τη δική τους δέουσα επιμέλεια. Επιπλέον, οι αναφορές του περιέχουν την ακόλουθη δήλωση αποποίησης ευθύνης:
«Η θέση της CertiK είναι ότι κάθε εταιρεία και άτομο είναι υπεύθυνοι για τη δική τους δέουσα επιμέλεια και συνεχή ασφάλεια. Στόχος της CertiK είναι να βοηθήσει στη μείωση των διανυσμάτων επίθεσης και του υψηλού επιπέδου διακύμανσης που σχετίζεται με τη χρήση νέων και συνεχώς μεταβαλλόμενων τεχνολογιών και σε καμία περίπτωση δεν αξιώνει καμία εγγύηση ασφάλειας ή λειτουργικότητας της τεχνολογίας που συμφωνούμε να αναλύσουμε».
Αν και δεν είναι η πλήρης εικόνα, αυτές οι εκθέσεις μπορούν να παρέχουν μια εικόνα για τους κινδύνους ενός έργου, βοηθώντας στην ενημέρωση των ενδιαφερομένων σχετικά με ένα έργο. Οποιεσδήποτε προτεινόμενες αλλαγές στον κώδικα έξυπνης σύμβασης μπορούν να υποβληθούν σε ένα πρότυπο πρωτοκόλλου ψηφοφορία διαδικασία χωρίς κυβερνητική παρέμβαση.
Coinbase Διευθύνων Σύμβουλος Brian Armstrong συνήγοροι ότι τα πρωτόκολλα DeFi προστατεύονται από την ελευθερία του λόγου στις Ηνωμένες Πολιτείες αντί να ρυθμίζονται από νόμους που διέπουν τις επιχειρήσεις χρηματοοικονομικών υπηρεσιών.
Για το πιο πρόσφατο Be[In]Crypto Bitcoin (BTC) ανάλυση, κάντε κλικ εδώ.
Αποποίηση ευθυνών
Το BeInCrypto επικοινώνησε με εταιρεία ή άτομο που εμπλέκεται στην ιστορία για να λάβει μια επίσημη δήλωση σχετικά με τις πρόσφατες εξελίξεις, αλλά δεν έχει λάβει ακόμη απάντηση.
Πηγή: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/