Certik kljub reviziji vidi 12 milijonov dolarjev izterjanih iz Crypto Exploit

Ekološki stabilno projekt Defrost Finance bo vrnil 12 milijonov dolarjev sredstev, ukradenih do 23. decembra 2022, izkoriščanje, kljub reviziji kode s strani CertiK.

Odtaljevanje uporabil podatkov v verigi, da se zagotovi pravilna dodelitev ukradenih sredstev. Vračilo je prišlo po tem, ko je napadalec izkoristil napake v več pametnih pogodbah Defrost. Blockchain varnost sprva podjetje Peckshield poročali napad 23. decembra 2022.

Stranke Defrosta izgubijo 12 milijonov dolarjev

Heker naj bi izčrpal 173,000 $ z napadom na bliskovno posojilo, ki je bil usmerjen v Defrostov protokol V1. V pomembnejšem napadu V2 je storilec ukradel 12 milijonov dolarjev z likvidacijo pozicij uporabnikov prek lažnega žetona zavarovanja in zlonamerne cene Oracle. Napadalci kasneje domnevno ukradel 1.4 milijona dolarjev od medverižnega tehnološkega agregatorja Rubic Finance, kar povzroča pomisleke glede ranljivosti v kodi pametnih pogodb.

Do likvidacij pride v Defi ko vrednost uporabnikovega zavarovanja pade pod minimalno razmerje med posojilom in vrednostjo protokola posojanja. Protokoli stabilnega kovanca, kot je Defrost, uporabnikom omogočajo položiti zavarovanje za trajno posojilo stabilnega kovanca. Protokol za nastavitev obresti posojila uporablja algoritemsko prilagojeno provizijo za stabilnost. Uvedba lažnega zavarovanja v V2 je verjetno ogrozila razmerje med posojilom in vrednostjo uporabnikov Defrosta, kar je privedlo do njihove likvidacije.

Revizije CertiK razkrivajo težave s centralizacijo

oba žaga so opozorili na zaključke, ki jih je mogoče izpeljati iz revizij kode pametnih pogodb pri ocenjevanju legitimnosti Defi projekt. Varnostno podjetje za verigo blokov CertiK je bilo vpleteno v oba vdora, pri čemer sta družbi Defrost in Rubic opravili revizijo kode. 

CertiK revidiranih Odmrzovanje pametnih pogodb V1 v novembru 2021, ki navaja kritično logično težavo in pet težav v zvezi s centralizacijo. Prvo je bilo rešeno v času tiska, medtem ko je bilo drugo priznano brez dokazov o nadaljnjem delu. Logična težava, pogovorno imenovana "napaka", omogoča pametnim pogodbam nepravilno delovanje brez zrušitve. Po drugi strani pa a vprašanje centralizacije lahko povzroči ogrožanje več entitet, če heker pridobi dostop do skupnega bloka kode ali spremenljivke.

Tudi CertiK izkopan več težav s centralizacijo v pametni pogodbi SwapContract Rubic Finance, od katerih bi ena hekerju omogočila dvig ETH/BNB in ​​drugih žetonov na hekerjev naslov.

Revizije ne nadomestijo zdrave pameti

Namesto da bi podprl projekt ali njegova sredstva, CertiK testira odpornost pametnih pogodb na različne vektorje napadov. Ocenjuje tudi skladnost pogodb s sprejemljivimi standardi kodiranja in primerja pametne pogodbe projekta s tistimi, ki so jih izdelali vodilni v industriji. 

Natančen pregled spletnega mesta CertiK razkrije, da podjetje revidira samo kodo, ki jo zagotavlja protokol DeFi. Zainteresiranim vlagateljem svetuje, naj opravijo lasten skrbni pregled. Poleg tega njegova poročila vsebujejo naslednjo izjavo o omejitvi odgovornosti:

»Stališče CertiK-a je, da sta vsako podjetje in posameznik odgovorna za lastno skrbnost in stalno varnost. CertiK-ov cilj je pomagati zmanjšati vektorje napadov in visoko stopnjo variance, povezane z uporabo novih in dosledno spreminjajočih se tehnologij, in na noben način ne zahteva nobenega jamstva za varnost ali funkcionalnost tehnologije, za katero se strinjamo, da jo bomo analizirali.«

Čeprav ta poročila niso popolna slika, lahko zagotovijo vpogled v tveganja projekta in pomagajo obveščati zainteresirane strani o projektu. Vse predlagane spremembe kode pametne pogodbe so lahko podvržene standardu protokola glasovanje postopek brez posredovanja vlade. 

Glavni direktor Coinbase Brian Armstrong Zagovorniki da so protokoli DeFi v Združenih državah zaščiteni s svobodo govora, namesto da bi jih urejali zakoni, ki urejajo poslovanje s finančnimi storitvami.

Za najnovejšo različico Be[In]Crypto Bitcoin (BTC) analiza, Klikni tukaj.