Certik näeb Crypto Exploitist tagasi 12 miljonit dollarit, hoolimata auditist

Ökoloogiline stabiotsiin projekti Defrost Finance tagastab 12 miljonit dollarit raha, mis varastati 23. detsembrini 2022, ekspluateerimiseks, hoolimata sellest, et CertiK on läbinud koodiauditi.

Sulatama kasutab ahelasisesed andmed, et tagada varastatud vahendite õige jaotamine. Tagasimakse tehakse pärast seda, kui ründaja kasutas ära mitme Defrosti nutika lepingu vigu. Plokiahel turvalisus esialgu firma Peckshield teatatud rünnak 23. detsembril 2022.

Sulatuskliendid kaotavad 12 miljonit dollarit

Väidetavalt kulutas häkker 173,000 1 dollarit kiirlaenurünnaku kaudu, mis oli tasandatud Defrosti V2 protokolliga. Märkimisväärsema V12 rünnaku käigus varastas kurjategija XNUMX miljonit dollarit, likvideerides kasutajate positsioonid võltsitud tagatismärgi ja pahatahtliku hinna kaudu. oraakel. Ründajad hiljem väidetavalt varastanud 1.4 miljonit dollarit ahelateüleselt tehnoloogiaagregaatorilt Rubic Finance, mis tekitab muret nutika lepingukoodi haavatavuste pärast.

Likvideerimised toimuvad aastal Defi kui kasutaja tagatise väärtus langeb alla laenuprotokolli minimaalse laenu ja väärtuse suhte. Stabiilmüntide protokollid, nagu Defrost, võimaldavad kasutajatel tagatisraha hoiustada püsiva stabiilse mündilaenu jaoks. Protokoll kasutab laenuintressi määramiseks algoritmiliselt kohandatud stabiilsustasu. Võltsitud tagatiste kasutuselevõtt V2-le kahjustas tõenäoliselt Defrosti kasutajate laenu ja väärtuse suhet, mis viis nende likvideerimiseni.

CertiKi auditid paljastavad tsentraliseerimise probleemid

Mõlemad hacks on juhtinud tähelepanu järeldustele, mida saab teha nutikate lepingukoodide audititest lepingu legitiimsuse hindamisel. Defi projekt. Plokiahela turvafirma CertiK oli seotud mõlema häkkimisega, ettevõtte poolt on Defrosti ja Rubicu koodiauditid tehtud. 

CertiK auditeeritud Sulatage V1 nutikad lepingud 2021. aasta novembris, loetledes kriitilise loogikaprobleemi ja viis tsentraliseerimisega seotud probleemi. Esimene oli ajakirjanduse ajal lahendatud, teine ​​aga tunnistati ilma tõenditeta edasise töö kohta. Loogikaprobleem, mida kõnekeeles nimetatakse "veaks", võimaldab nutikatel lepingutel toimida valesti, ilma et need kokku jookseksid. Teisest küljest a tsentraliseerimise küsimus võib põhjustada mitme üksuse ohustamise, kui häkker saab juurdepääsu jagatud koodiplokile või muutujale.

CertiK ka leitud mitmeid tsentraliseerimisprobleeme Rubic Finance'i nutilepingus SwapContract, millest üks võimaldaks häkkeril ETH/BNB ja muud märgid häkkeri aadressile tagasi võtta.

Auditid ei asenda tervet mõistust

Projekti või selle varade kinnitamise asemel testib CertiK nutikate lepingute vastupidavust erinevatele rünnakuvektoritele. Samuti hindab see lepingute vastavust vastuvõetavatele kodeerimisstandarditele ja võrdleb projekti nutikaid lepinguid tööstusharu liidrite koostatud lepingutega. 

CertiKi veebisaidi hoolikas uurimine näitab, et ettevõte kontrollib ainult DeFi protokolli pakutavat koodi. See soovitab huvitatud investoritel viia läbi oma hoolsusanalüüs. Lisaks sisaldavad selle aruanded järgmist lahtiütlemist:

“CertiKi seisukoht on, et iga ettevõte ja eraisik vastutab oma hoolsuse ja pideva turvalisuse eest ise. CertiKi eesmärk on aidata vähendada uute ja järjepidevalt muutuvate tehnoloogiate kasutamisega seotud rünnakute vektoreid ja kõrget dispersioonitaset ning see ei pretendeeri mingil juhul selle tehnoloogia turvalisuse või funktsionaalsuse garantiidele, mida oleme nõus analüüsima.

Kuigi need aruanded ei anna täielikku pilti, võivad need anda ülevaate projekti riskidest, aidates teavitada huvitatud isikuid projektist. Kõik nutika lepingu koodi kavandatavad muudatused võivad läbida protokollistandardi hääletamine menetlus ilma valitsuse sekkumiseta. 

Coinbase'i tegevjuht Brian Armstrong toetajad et DeFi protokolle kaitseks USA-s pigem sõnavabadus kui finantsteenuseid reguleerivate seadustega.

Be[In]Crypto uusimate jaoks Bitcoin (BTC) analüüs, kliki siia.