Certik vidi 12 milijuna dolara vraćenih od Crypto Exploit unatoč reviziji

Ekološki stablecoin projekt Defrost Finance vratit će 12 milijuna dolara u sredstvima ukradenim do 23. prosinca 2022., exploit, unatoč tome što je CertiK prošao reviziju koda.

Odlediti koristit ću podataka u lancu kako bi se osigurala točna raspodjela ukradenih sredstava. Povrat dolazi nakon što je napadač iskoristio nedostatke u više Defrost pametnih ugovora. Blockchain sigurnosti tvrtka Peckshield u početku izvijestio napad 23. prosinca 2022.

Klijenti Defrosta izgubili 12 milijuna dolara

Haker je navodno isušio 173,000 dolara kroz napad na brzu zajam usmjeren na Defrostov V1 protokol. U značajnijem V2 napadu, počinitelj je ukrao 12 milijuna dolara likvidirajući pozicije korisnika pomoću lažnog kolateralnog tokena i zlonamjerne cijene proročanstvo. Napadači kasnije navodno ukrao 1.4 milijuna dolara od međulančanog tehnološkog agregatora Rubic Finance, što izaziva zabrinutost zbog ranjivosti u kodu pametnog ugovora.

Do likvidacija dolazi u defi kada vrijednost kolaterala korisnika padne ispod minimalnog omjera zajma i vrijednosti protokola posudbe. Stablecoin protokoli poput Defrosta omogućuju korisnicima polaganje kolaterala za trajni stablecoin zajam. Protokol koristi algoritamski prilagođenu naknadu za stabilnost za određivanje kamate na kredit. Uvođenje lažnog kolaterala u V2 vjerojatno je ugrozilo omjer zajma i vrijednosti korisnika Defrosta, što je dovelo do njihove likvidacije.

CertiK revizije otkrivaju probleme s centralizacijom

Oboje hack skrenuli su pozornost na zaključke koji se mogu izvući iz revizija kodova pametnih ugovora prilikom procjene legitimnosti defi projekt. Sigurnosna tvrtka za blockchain CertiK bila je umiješana u oba hakiranja, a Defrost i Rubic su prošli reviziju koda od strane tvrtke. 

Potvrda revidirana Pametne ugovore Defrost V1 u studenom 2021., navodeći kritični logički problem i pet problema koji se odnose na centralizaciju. Prvi je riješen u vrijeme tiska, dok je drugi priznat bez dokaza o daljnjem radu. Logički problem, koji se kolokvijalno naziva 'bug', omogućuje pametnim ugovorima da rade neispravno bez rušenja. S druge strane, a pitanje centralizacije može uzrokovati kompromitaciju nekoliko entiteta ako haker dobije pristup zajedničkom bloku koda ili varijabli.

CertiK također iskopavanje nekoliko problema s centralizacijom u pametnom ugovoru SwapContract tvrtke Rubic Finance, od kojih bi jedan omogućio hakeru da povuče ETH/BNB i druge tokene na hakerovu adresu.

Revizije ne zamjenjuju zdrav razum

Umjesto da podupire projekt ili njegovu imovinu, CertiK testira otpornost pametnih ugovora na različite vektore napada. Također procjenjuje usklađenost ugovora s prihvatljivim standardima kodiranja i uspoređuje pametne ugovore projekta s onima koje su izradili lideri u industriji. 

Pažljivo ispitivanje CertiK-ove web stranice otkriva da tvrtka revidira samo kod koji pruža DeFi protokol. Zainteresiranim ulagačima savjetuje da sami provedu due diligence. Dodatno, njegova izvješća sadrže sljedeće odricanje od odgovornosti:

“Stav tvrtke CertiK je da su svaka tvrtka i pojedinac odgovorni za vlastitu dubinsku analizu i kontinuiranu sigurnost. CertiK-ov cilj je pomoći u smanjenju vektora napada i visoke razine varijance povezane s korištenjem novih i dosljedno promjenjivih tehnologija, i ni na koji način ne zahtijeva bilo kakvo jamstvo sigurnosti ili funkcionalnosti tehnologije koju pristajemo analizirati.”

Iako nisu potpuna slika, ova izvješća mogu dati uvid u rizike projekta, pomažući informirati zainteresirane strane o projektu. Sve predložene izmjene koda pametnog ugovora mogu proći standard protokola glasanje Postupci bez vladine intervencije. 

Izvršni direktor Coinbase-a Brian Armstrong zagovara da DeFi protokoli budu zaštićeni slobodom govora u Sjedinjenim Državama umjesto da budu regulirani zakonima koji uređuju poslovanje financijskih usluga.

Za Be[In]Crypto najnovije Bitcoin (BTC) analiza, kliknite ovdje.