Ekologi stabilcoin projek Defrost Finance akan memulangkan $12 juta dana yang dicuri sehingga 23 Dis 2022, mengeksploitasi, walaupun telah menjalani audit kod oleh CertiK.
Pencairan akan guna data dalam rantaian untuk memastikan peruntukan yang betul bagi dana yang dicuri. Bayaran balik datang selepas penyerang mengeksploitasi kelemahan dalam beberapa kontrak pintar Defrost. Rantaian sekat keselamatan teguh Peckshield pada mulanya dilaporkan serangan pada 23 Dis 2022.
Pelanggan Defrost Kerugian $12 Juta
Penggodam itu dilaporkan menghabiskan $173,000 melalui serangan pinjaman kilat yang disamakan pada protokol V1 Defrost. Dalam serangan V2 yang lebih ketara, seorang pelaku mencuri $12 juta dengan mencairkan kedudukan pengguna melalui token cagaran palsu dan harga yang berniat jahat nujum. Penyerang nanti didakwa mencuri $1.4 juta daripada agregator teknologi rentas rantaian Rubic Finance, menimbulkan kebimbangan tentang kelemahan dalam kod kontrak pintar.
Pembubaran berlaku dalam DeFi apabila nilai cagaran pengguna jatuh di bawah nisbah pinjaman kepada nilai minimum protokol pinjaman. Protokol Stablecoin seperti Defrost membenarkan pengguna mendepositkan cagaran untuk pinjaman stablecoin yang berterusan. Protokol menggunakan yuran kestabilan yang disesuaikan secara algoritma untuk menetapkan faedah pinjaman. Pengenalan cagaran palsu kepada V2 berkemungkinan menjejaskan nisbah pinjaman kepada nilai pengguna Defrost, yang membawa kepada pembubaran mereka.
Audit CertiK Mendedahkan Isu Pemusatan
Kedua-dua hacks telah menarik perhatian kepada kesimpulan yang boleh dibuat daripada audit kod kontrak pintar apabila menilai kesahihan sesuatu DeFi projek. Firma keselamatan Blockchain CertiK telah terlibat dalam kedua-dua penggodaman, dengan Defrost dan Rubic telah menjalani audit kod oleh syarikat.
sijil diaudit Defrost kontrak pintar V1 pada November 2021, menyenaraikan isu logik kritikal dan lima isu yang berkaitan dengan pemusatan. Yang pertama telah diselesaikan pada masa akhbar, manakala yang kedua telah diakui tanpa bukti kerja lanjut. Isu logik, secara bahasa sehari-hari dirujuk sebagai 'pepijat,' membolehkan kontrak pintar beroperasi dengan tidak betul tanpa ranap. Sebaliknya, a isu pemusatan boleh menyebabkan kompromi beberapa entiti jika penggodam mendapat akses kepada blok atau pembolehubah kod kongsi.
CertiK juga digali beberapa isu pemusatan dalam kontrak pintar SwapContract Rubic Finance, salah satunya akan membolehkan penggodam untuk menarik balik ETH/BNB dan token lain ke alamat penggodam.
Audit Tidak Menggantikan Akal Waras
Daripada menyokong projek atau asetnya, CertiK menguji daya tahan kontrak pintar terhadap pelbagai vektor serangan. Ia juga menilai pematuhan kontrak dengan piawaian pengekodan yang boleh diterima dan membandingkan kontrak pintar projek dengan yang dihasilkan oleh peneraju industri.
Pemeriksaan yang teliti terhadap laman web CertiK mendedahkan bahawa syarikat hanya mengaudit kod yang disediakan oleh protokol DeFi. Ia menasihatkan pelabur yang berminat untuk menjalankan usaha wajar mereka sendiri. Selain itu, laporannya mengandungi penafian berikut:
“Pendirian CertiK ialah setiap syarikat dan individu bertanggungjawab ke atas usaha wajar mereka sendiri dan keselamatan berterusan. Matlamat CertiK adalah untuk membantu mengurangkan vektor serangan dan varians tahap tinggi yang dikaitkan dengan penggunaan teknologi baharu dan berubah secara konsisten, dan sama sekali tidak menuntut sebarang jaminan keselamatan atau kefungsian teknologi yang kami bersetuju untuk menganalisis."
Walaupun bukan gambaran yang lengkap, laporan ini boleh memberikan gambaran tentang risiko projek, membantu memaklumkan pihak yang berminat tentang projek. Sebarang perubahan yang dicadangkan kepada kod kontrak pintar boleh menjalani piawaian protokol mengundi prosedur tanpa campur tangan kerajaan.
Ketua Pegawai Kewangan Coinbase Brian Armstrong penyokong bahawa protokol DeFi dilindungi oleh kebebasan bersuara di Amerika Syarikat dan bukannya dikawal oleh undang-undang yang mengawal perniagaan perkhidmatan kewangan.
For Be[In]Crypto terbaharu Bitcoin (BTC) analisis, tekan di sini.
Penafian
BeInCrypto telah menghubungi syarikat atau individu yang terlibat dalam cerita itu untuk mendapatkan kenyataan rasmi tentang perkembangan terkini, tetapi ia masih belum mendapat maklum balas.
Sumber: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/