Πρωτόκολλο αποκεντρωμένης διαπραγμάτευσης μόχλευσης Η Defrost Finance, η οποία πρόσφατα αποκάλυψε ότι το πρωτόκολλό της έχει εκμεταλλευτεί για περίπου 12 εκατομμύρια δολάρια μέσω των προϊόντων V1 και V2, εξέδωσε μια ενημέρωση δηλώνοντας ότι ο εισβολέας V1 επέστρεψε τα κεφάλαια που εκμεταλλεύτηκαν.
«Σύντομα θα αρχίσουμε να σαρώνουμε τα δεδομένα στην αλυσίδα για να μάθουμε σε ποιον κατείχε τι πριν από το hack, προκειμένου να τα επιστρέψουμε στους νόμιμους κατόχους. Καθώς διαφορετικοί χρήστες είχαν μεταβλητές αναλογίες περιουσιακών στοιχείων και χρέους, αυτή η διαδικασία μπορεί να διαρκέσει λίγο [χρόνο]», δήλωσαν οι προγραμματιστές της Defrost Finance μέσω ενός .
Σύμφωνα με την ομάδα, η πρώτη επίθεση περιελάμβανε τη χρήση μιας ακολουθίας φλας δανείου για την αποστράγγιση κεφαλαίων από το προϊόν V2 της. Ένα άλλο exploit κυκλοφόρησε χρησιμοποιώντας το κλειδί κατόχου, αποκτώντας πρόσβαση στο προϊόν V1 της Defrost Finance.
Στα πρωτόκολλα αποκεντρωμένης χρηματοδότησης, οι ρευστοποιήσεις συμβαίνουν όταν η αξία των εξασφαλίσεων ενός χρήστη πέφτει κάτω από την ελάχιστη αναλογία δανείου προς αξία ενός πρωτοκόλλου. Το Defrost επιτρέπει στους χρήστες να καταθέτουν εξασφαλίσεις για ένα δάνειο, το οποίο χρησιμοποιεί το πρωτόκολλο για τον υπολογισμό του επιτοκίου αυτού του δανείου. Οι πλαστές εξασφαλίσεις που εισήχθησαν στο V2 πιθανότατα έθεσαν σε κίνδυνο τους δείκτες δανείου προς αξία των χρηστών, οδηγώντας σε ρευστοποίησή τους.
Το πρωτόκολλο είναι χτισμένο πάνω από το blockchain Avalanche. Αυτό που είναι αξιοπερίεργο είναι ότι εταιρείες ασφάλειας blockchain όπως η Peckshield ισχυρίστηκαν ότι η επίθεση ήταν περισσότερο μια εσωτερική δουλειά και έχει θεωρηθεί ως ένα χαλί.
Η CertiK, μια άλλη εταιρεία ασφάλειας και ελέγχου blockchain, επιβεβαίωσε ότι δεν μπόρεσε να έλθει σε επαφή με την ομάδα του Defrost Finance, με αποτέλεσμα η εταιρεία να δημοσιεύσει μια προειδοποίηση στον λογαριασμό της στο Twitter, η οποία ανέφερε ότι η εισβολή του Defrost Finance ήταν αντίθετα μια απάτη εξόδου. Τη στιγμή που γράφονται αυτές οι γραμμές, ο επίσημος λογαριασμός Twitter της Defrost Finance μπορεί είτε να μην μπορεί να λάβει μήνυμα είτε είναι ήδη προρυθμισμένος να μην το κάνει.
Τον Νοέμβριο του 2021, το CertiK έλεγξε τα έξυπνα συμβόλαια του Defrost V1 και απαρίθμησε ένα κρίσιμο ζήτημα λογικής και πέντε ζητήματα που σχετίζονται με τη συγκέντρωση. Και τα δύο ζητήματα επιλύθηκαν σε ώρα τύπου. Το πρώτο αναγνωρίστηκε χωρίς αποδεικτικά στοιχεία για περαιτέρω εργασία, ενώ το δεύτερο αναγνωρίστηκε με στοιχεία για περαιτέρω εργασία.
Ο όρος «σφάλμα» αναφέρεται σε ένα λογικό ζήτημα, το οποίο μπορεί να προκαλέσει λανθασμένη λειτουργία των έξυπνων συμβολαίων χωρίς να κολλήσει. Προβλήματα λογικής προκύπτουν όταν τα έξυπνα συμβόλαια αποτυγχάνουν να λειτουργήσουν όπως προβλέπεται, ενώ τα ζητήματα κεντροποίησης είναι αποτέλεσμα της πρόσβασης ενός χάκερ σε μπλοκ ή μεταβλητές κοινόχρηστου κώδικα.
Οι αρχικές αναφορές για το exploit αποκάλυψαν ότι περίπου 173,000 $ εξαντλήθηκαν μέσω του πρωτοκόλλου V1, ενώ άλλα 1.4 εκατομμύρια $ αφαιρέθηκαν μέσω της Rubic Finance, ενός cross-chain aggregator που συνδέεται με την Defrost Finance. Αυτά, μαζί με τη ληστεία 12 εκατομμυρίων δολαρίων στο προϊόν V2, έχουν εγείρει ανησυχίες για τη σταθερότητα και την ασφάλεια του πρωτοκόλλου όσον αφορά τον κώδικα έξυπνης σύμβασης, θέτοντας υπό αμφισβήτηση το ζήτημα της συγκέντρωσης σε όλο το οικοσύστημά του.
Πηγή: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered