Ökologesch stablecoin Projet Defrost Finance wäert $ 12 Milliounen zréck Fongen geklaut duerch Dezember 23, 2022, exploitéieren, trotz engem Code Audit vun CertiK.
Afréiere benotzen on-chain Donnéeën fir déi richteg Allokatioun vun de geklauten Fongen ze garantéieren. De Remboursement kënnt nodeems en Ugräifer Mängel a multiple Defrost Smart Kontrakter exploitéiert huet. Blockchain Sécherheet Firma Peckshield Ufank confirméiert den Attack den 23. Dezember 2022.
Defrost Clienten verléieren $ 12 Milliounen
Den Hacker huet gemellt $ 173,000 duerch e Flash Prêt-Attack op Defrost's V1 Protokoll ausgeglach. An engem méi bedeitende V2 Attack huet en Täter $ 12 Millioune geklaut andeems d'Benotzer hir Positiounen duerch e gefälschte Sécherheets-Token an e béise Präis liquidéieren Orakel. Ugräifer méi spéit angeblech geklaut $ 1.4 Millioune vum Cross-Chain Tech Aggregat Rubic Finance, mécht Bedenken iwwer Schwachstelle am Smart Kontrakt Code.
Liquidatioune geschéien an Defi wann de Wäert vun engem Benotzer d'Sécherheet fällt ënnert engem Prêt Protokoll Minimum Prêt-ze-Wäert Verhältnis. Stablecoin Protokoller wéi Defrost erlaben d'Benotzer Secherheet fir en éiwege Stablecoin Prêt ze deposéieren. De Protokoll benotzt eng algorithmesch ugepasste Stabilitéitsgebühr fir den Interessi vum Prêt ze setzen. D'Aféierung vu gefälschte Garantien op V2 huet méiglecherweis d'Defrost Benotzer hir Prêt-zu-Wäertverhältnisser kompromittéiert, wat zu hire Liquidatiounen gefouert huet.
CertiK Audits verroden Zentraliséierungsprobleemer
souwuel hacks hunn op d'Conclusiounen opmierksam gemaach, déi aus Smart Kontrakt Code Auditen gezunn kënne ginn, wann Dir d'Legitimitéit vun engem bewäerten Defi Projet. Blockchain Sécherheetsfirma CertiK war a béid Hacks involvéiert, mat Defrost a Rubic déi Code Audits vun der Firma gemaach hunn.
CertiK iwwerpréift Defrost V1's Smart Kontrakter am November 2021, lëschte e kriteschen Logik Thema a fënnef Themen betreffend Zentraliséierung. Dee fréiere gouf zu der Pressezäit geléist, während déi lescht ouni Beweis vu weiderer Aarbecht unerkannt gouf. E Logik Thema, allgemeng als "Bug" bezeechent, erlaabt Smart Kontrakter falsch ze bedreiwen ouni Crash. Op der anerer Säit, a Zentraliséierungsproblem kann de Kompromëss vu verschiddenen Entitéite verursaachen wann en Hacker Zougang zu engem gemeinsame Codeblock oder Variabel kritt.
CertiK och opgespaart e puer Zentraliséierungsprobleemer am Rubic Finance sengem SwapContract Smart Kontrakt, vun deenen een en Hacker et erméiglecht ETH/BNB an aner Tokens op d'Adress vum Hacker zréckzéien.
Auditen ersetzen net gesonde Mënscheverstand
Anstatt e Projet oder seng Verméigen z'ënnerstëtzen, testt CertiK d'Widderstandsfäegkeet vu Smart Kontrakter op verschidden Attackvektoren. Et bewäert och d'Konformitéit vun de Kontrakter mat akzeptablen Kodéierungsnormen a vergläicht de Smart Kontrakter vun engem Projet mat deenen, déi vun Industrieleit produzéiert ginn.
Virsiichteg Iwwerpréiwung vun der CertiK Websäit weist datt d'Firma nëmmen de Code auditéiert vum DeFi Protokoll. Et beréit interesséiert Investisseuren hir eege Due Diligence ze maachen. Zousätzlech enthalen seng Berichter déi folgend Verzichterklärung:
"D'Positioun vum CertiK ass datt all Firma an Individuum verantwortlech ass fir hir eege Due Diligence a kontinuéierlech Sécherheet. Dem CertiK säin Zil ass et ze hëllefen d'Attackvektoren ze reduzéieren an den héijen Niveau vun der Varianz verbonne mat der Benotzung vun neien a konsequent verännerende Technologien, a behaapt op kee Fall eng Garantie vu Sécherheet oder Funktionalitéit vun der Technologie déi mir averstane sinn ze analyséieren.
Och wann net dat komplett Bild, kënnen dës Berichter Abléck an d'Risiken vun engem Projet ginn, hëllefen interesséiert Parteien iwwer e Projet z'informéieren. All proposéiert Ännerunge vum Smart Kontrakt Code kënnen e Protokoll Standard ënnergoen Ofstëmmen Prozedur ouni Regierungsinterventioun.
Coinbase CEO Brian Armstrong befugt datt DeFi Protokoller duerch fräi Ried an den USA geschützt ginn anstatt vu Gesetzer geregelt ginn, déi Finanzservicer Geschäfter regéieren.
Fir Be[In]Crypto's lescht geschriwen (BTC) Analyse, Klick hei.
Verzichterklärung
BeInCrypto huet eng Firma oder Eenzelpersoun, déi an der Geschicht involvéiert ass, erreecht fir eng offiziell Ausso iwwer déi rezent Entwécklungen ze kréien, awer et huet nach net ze héieren.
Quell: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/