Defrost Finance вернет $12 млн средств, украденных в результате эксплойта 23 декабря 2022 года. Ранее компания проходила аудит кода у CertiK.
По данным Peckshield – компании, специализирующейся на блокчейн-безопасности, злоумышленник использовал недостатки в нескольких смарт-контрактах Defrost. Чтобы обеспечить правильное распределение украденных средств, Defrost использует ончейн-инструменты.
Сначала хакер атаковал протокол V1 с помощью флэш-кредита и вывел $173 000. А затем похитил $12 млн, ликвидировав позиции пользователей с помощью поддельного залогового токена и вредоносного ценового оракула. Позже злоумышленники украли $1,4 млн у кроссчейн-агрегатора Rubic Finance, что вызвало обеспокоенность по поводу уязвимостей в коде смарт-контракта.
Ликвидация позиции на DeFi-платформе происходит, когда стоимость залога пользователя падает ниже минимального соотношения займа к стоимости, установленного протоколом кредитования. Стейблкоин-протоколы – такие, как Defrost, позволяют вносить залог для получения бессрочного кредита в стейблкоинах. Протокол использует алгоритмически скорректированную плату для установления процентов по кредиту. Введение фальшивого залога в V2, вероятно, нарушило соотношение займа к стоимости у пользователей Defrost, что привело к их ликвидации.
CertiK провела аудит смарт-контрактов Defrost V1 в ноябре 2021 года, указав на критические логические проблемы и пять проблем, связанных с централизацией. Логические проблемы позволяют смарт-контрактам с некорректным кодом работать, не вызывая масштабных сбоев. Проблемы с централизацией же могут привести к компрометации нескольких организаций, если хакер получит доступ к общему блоку кода или переменной.
CertiK также обнаружила несколько проблем централизации в смарт-контракте SwapContract у Rubic Finance. Одна из них позволила бы хакеру вывести ETH/BNB и другие токены на сторонний адрес.
Задача CertiK заключается в проверке устойчивости смарт-контрактов к различным векторам атак. Компания также оценивает соответствие контрактов приемлемым стандартам кодирования и сравнивает смарт-контракты проекта с контрактами, разработанными лидерами отрасли.
При внимательном изучении сайта CertiK выяснилось, что аудитор проверяет только предоставленный клиентов код и советует заинтересованным инвесторам проводить собственное исследование. Кроме того, в отчетах компании содержится следующий отказ от ответственности:
«Позиция CertiK заключается в том, что каждая компания и частное лицо несут ответственность за должную осмотрительность и постоянную безопасность. Цель CertiK – помочь уменьшить векторы атак и высокий уровень разногласий, связанных с использованием новых и постоянно меняющихся технологий. Мы ни в коем случае не претендуем на гарантию безопасности или функциональности технологии, которую соглашаемся анализировать».
И хотя отчеты CertiK не дают полной картины, они позволяют получить представление о рисках проекта и информируют заинтересованные стороны.
BTC | 98463.4 |
ETH | 3335.67 |
EOS | 0.7893 |
XRP | 1.5773 |
LTC | 97.28 |
Актуальность 2024-11-23 04:40:07
Динамика курсов валют