Certik vidi 12 miliona dolara vraćeno od Crypto Exploit uprkos reviziji

Ekološki stablecoin projekat Defrost Finance će vratiti 12 miliona dolara u fondovima ukradenim do 23. decembra 2022., eksploatacijom, uprkos tome što je prošao reviziju koda od strane CertiK-a.

Odmrzavanje će koristiti podataka na lancu kako bi se osigurala ispravna raspodjela ukradenih sredstava. Povrat novca dolazi nakon što je napadač iskoristio nedostatke u više Defrost pametnih ugovora. Blockchain bezbjednost firma Peckshield u početku prijavljeno napad 23. decembra 2022.

Klijenti za odmrzavanje gube 12 miliona dolara

Haker je navodno izvukao 173,000 dolara kroz brzi napad na pozajmicu usmjeren na Defrostov V1 protokol. U značajnijem V2 napadu, počinitelj je ukrao 12 miliona dolara likvidirajući pozicije korisnika putem lažnog kolateralnog tokena i zlonamjerne cijene oracle. Napadači kasnije navodno ukrao 1.4 miliona dolara od cross-chain tehnološkog agregatora Rubic Finance, što je izazvalo zabrinutost zbog ranjivosti koda pametnih ugovora.

Likvidacije se dešavaju u Defi kada vrijednost kolaterala korisnika padne ispod minimalnog omjera kredita i vrijednosti protokola zajma. Stablecoin protokoli kao što je Defrost omogućavaju korisnicima da deponuju kolateral za trajni stabilcoin zajam. Protokol koristi algoritamski prilagođenu naknadu za stabilnost za određivanje kamate zajma. Uvođenje lažnog kolaterala u V2 je vjerovatno kompromitovalo omjer kredita i vrijednosti korisnika Defrosta, što je dovelo do njihove likvidacije.

CertiK revizije otkrivaju probleme centralizacije

oba Hacks skrenuli su pažnju na zaključke koji se mogu izvući iz revizija koda pametnih ugovora kada se procjenjuje legitimnost Defi projekat. Blockchain sigurnosna firma CertiK bila je umiješana u oba hakovanja, a Defrost i Rubic su prošli reviziju koda od strane kompanije. 

CertiK revidiran Odmrznite pametne ugovore V1 u novembru 2021., navodeći kritično logično pitanje i pet pitanja vezanih za centralizaciju. Prvo je riješeno u vrijeme štampe, dok je drugo priznato bez dokaza o daljem radu. Logički problem, kolokvijalno nazvan 'bug', omogućava pametnim ugovorima da rade nepravilno bez pada. S druge strane, a pitanje centralizacije može uzrokovati kompromitaciju nekoliko entiteta ako haker dobije pristup zajedničkom bloku koda ili varijabli.

CertiK također otkopan nekoliko problema centralizacije u pametnom ugovoru SwapContract kompanije Rubic Finance, od kojih bi jedan omogućio hakeru da povuče ETH/BNB i druge tokene na adresu hakera.

Revizije ne zamjenjuju zdrav razum

Umjesto da odobrava projekat ili njegovu imovinu, CertiK testira otpornost pametnih ugovora na različite vektore napada. Takođe ocjenjuje usklađenost ugovora sa prihvatljivim standardima kodiranja i upoređuje pametne ugovore projekta sa onima koje proizvode lideri u industriji. 

Pažljivo ispitivanje CertiK-ove web stranice otkriva da kompanija vrši reviziju samo koda koji obezbjeđuje DeFi protokol. Zainteresovanim investitorima se savjetuje da sami provedu due diligence. Osim toga, njegovi izvještaji sadrže sljedeće odricanje odgovornosti:

“Stav CertiK-a je da su svaka kompanija i pojedinac odgovorni za svoju dužnu pažnju i kontinuiranu sigurnost. Cilj CertiK-a je pomoći u smanjenju vektora napada i visokog nivoa varijanse povezanih s korištenjem novih tehnologija koje se konstantno mijenjaju, i ni na koji način ne traži nikakvu garanciju sigurnosti ili funkcionalnosti tehnologije koju smo pristali analizirati.”

Iako nisu potpuna slika, ovi izvještaji mogu pružiti uvid u rizike projekta, pomažući da se zainteresirane strane informišu o projektu. Svaka predložena promjena koda pametnog ugovora može biti podvrgnuta standardu protokola glasanje procedure bez vladine intervencije. 

Direktor Coinbase-a Brian Armstrong zastupnici da DeFi protokoli budu zaštićeni slobodom govora u Sjedinjenim Državama, a ne da budu regulisani zakonima koji regulišu poslovanje finansijskih usluga.

Za Be[In]Crypto najnovije Bitcoin (BTC) analiza, kliknite ovdje.