Ecologisch stablecoin project Defrost Finance zal tot en met 12 december 23 $ 2022 miljoen aan gestolen fondsen teruggeven, ondanks een code-audit door CertiK.
Ontdooi zal gebruiken on-chain data om de juiste toewijzing van de gestolen fondsen te garanderen. De terugbetaling komt nadat een aanvaller misbruik heeft gemaakt van fouten in meerdere slimme Defrost-contracten. Blockchain veiligheid stevige Peckshield aanvankelijk gerapporteerd de aanslag op 23 december 2022.
Defrost-klanten verliezen $ 12 miljoen
De hacker zou naar verluidt $ 173,000 hebben leeggemaakt via een flash-leningaanval gericht op het V1-protocol van Defrost. Bij een grotere V2-aanval stal een dader 12 miljoen dollar door de posities van gebruikers te liquideren door middel van een nep onderpandtoken en een kwaadaardige prijs orakel. Aanvallers later naar verluidt gestolen $ 1.4 miljoen van cross-chain tech-aggregator Rubic Finance, die zorgen uitte over kwetsbaarheden in slimme contractcode.
Liquidaties vinden plaats in Defi wanneer de waarde van het onderpand van een gebruiker onder de minimale lening/waarde-ratio van een uitleenprotocol valt. Stablecoin-protocollen zoals Defrost stellen gebruikers in staat om onderpand te storten voor een eeuwigdurende stablecoin-lening. Het protocol gebruikt een algoritmisch aangepaste stabiliteitsvergoeding om de rente van de lening vast te stellen. De introductie van nep-onderpand voor V2 bracht waarschijnlijk de loan-to-value-ratio's van Defrost-gebruikers in gevaar, wat leidde tot hun liquidaties.
CertiK-audits brengen centralisatieproblemen aan het licht
Te gebruiken zowel hacks hebben de aandacht gevestigd op de conclusies die kunnen worden getrokken uit slimme contractcode-audits bij het beoordelen van de legitimiteit van een Defi projecteren. Blockchain-beveiligingsbedrijf CertiK was betrokken bij beide hacks, waarbij Defrost en Rubic code-audits door het bedrijf hebben ondergaan.
CertiK gecontroleerd Ontdooi V1's slimme contracten in november 2021, met een opsomming van een kritiek logisch probleem en vijf problemen met betrekking tot centralisatie. De eerste was opgelost tijdens het ter perse gaan, terwijl de laatste werd erkend zonder bewijs van verder werk. Een logisch probleem, in de volksmond een 'bug' genoemd, zorgt ervoor dat slimme contracten onjuist werken zonder te crashen. Aan de andere kant, een centralisatie kwestie kan het compromitteren van verschillende entiteiten veroorzaken als een hacker toegang krijgt tot een gedeeld codeblok of variabele.
CertiK ook opgegraven verschillende centralisatieproblemen in het slimme SwapContract-contract van Rubic Finance, waarvan er één een hacker in staat zou stellen om ETH/BNB en andere tokens op te nemen op het adres van de hacker.
Audits vervangen gezond verstand niet
In plaats van een project of de activa ervan goed te keuren, test CertiK de veerkracht van slimme contracten tegen verschillende aanvalsvectoren. Het beoordeelt ook of de contracten voldoen aan aanvaardbare coderingsnormen en vergelijkt de slimme contracten van een project met die van marktleiders.
Nauwkeurig onderzoek van de website van CertiK laat zien dat het bedrijf alleen code controleert die wordt geleverd door het DeFi-protocol. Het adviseert geïnteresseerde investeerders zelf een due diligence uit te voeren. Bovendien bevatten de rapporten de volgende disclaimer:
“Het standpunt van CertiK is dat elk bedrijf en elk individu verantwoordelijk is voor zijn eigen due diligence en continue beveiliging. Het doel van CertiK is om de aanvalsvectoren en het hoge niveau van variantie die gepaard gaan met het gebruik van nieuwe en constant veranderende technologieën te helpen verminderen, en claimt op geen enkele manier enige garantie van veiligheid of functionaliteit van de technologie die we overeenkomen te analyseren.
Hoewel ze niet het volledige beeld geven, kunnen deze rapporten inzicht geven in de risico's van een project, waardoor geïnteresseerde partijen over een project kunnen worden geïnformeerd. Alle voorgestelde wijzigingen in de slimme contractcode kunnen de standaard van een protocol ondergaan stemming procedures zonder tussenkomst van de overheid.
Brian Armstrong, CEO van Coinbase voorstanders dat DeFi-protocollen worden beschermd door vrijheid van meningsuiting in de Verenigde Staten in plaats van te worden gereguleerd door wetten die financiële dienstverleners beheersen.
Voor Be[In]Crypto's nieuwste Bitcoin (BTC) analyse, klik hier.
Disclaimer
BeInCrypto heeft contact opgenomen met het bedrijf of de persoon die betrokken is bij het verhaal om een officiële verklaring over de recente ontwikkelingen te krijgen, maar het heeft nog niets gehoord.
Bron: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/