Certik ser 12 millioner dollar gjenvunnet fra kryptoutnyttelse til tross for revisjon

Økologiske stablecoin Project Defrost Finance vil returnere 12 millioner dollar i midler stjålet til og med 23. desember 2022, utnytte, til tross for at de har gjennomgått en koderevisjon av CertiK.

Tining vil bruke on-chain data for å sikre riktig tildeling av de stjålne midlene. Tilbakebetalingen kommer etter at en angriper utnyttet feil i flere Defrost-smartkontrakter. Blockchain sikkerhet fast Peckshield i utgangspunktet rapportert angrepet 23. desember 2022.

Avrimingskunder taper 12 millioner dollar

Hackeren skal ha tappet $173,000 1 gjennom et flashlånsangrep utjevnet på Defrosts V2-protokoll. I et mer betydningsfullt V12-angrep stjal en gjerningsmann XNUMX millioner dollar ved å likvidere brukernes posisjoner gjennom et falsk sikkerhetstoken og en ondsinnet pris orakel. Angripere senere angivelig stjålet 1.4 millioner dollar fra teknologisamleren Rubic Finance på tvers av kjeder, noe som vekker bekymring for sårbarheter i smart kontraktskode.

Likvideringer skjer i Defi når verdien av en brukers sikkerhet faller under en utlånsprotokolls minste belåningsgrad. Stablecoin-protokoller som Defrost lar brukere sette inn sikkerhet for et evigvarende stablecoin-lån. Protokollen bruker et algoritmisk justert stabilitetsgebyr for å sette lånets rente. Innføringen av falske sikkerheter til V2 kompromitterte sannsynligvis Defrost-brukeres belåningsgrad, noe som førte til deres likvidasjoner.

CertiK-revisjoner avslører sentraliseringsproblemer

Begge hacks har gjort oppmerksom på konklusjonene som kan trekkes fra revisjoner av smart kontraktskode ved vurdering av legitimiteten til en Defi prosjekt. Blockchain-sikkerhetsfirmaet CertiK var involvert i begge hackene, med Defrost og Rubic som hadde gjennomgått koderevisjoner av selskapet. 

CertiK revidert Avrim V1s smarte kontrakter i november 2021, og viser et kritisk logikkproblem og fem problemer knyttet til sentralisering. Førstnevnte hadde blitt løst på pressetidspunktet, mens sistnevnte ble kvittert uten bevis for videre arbeid. Et logisk problem, i daglig tale referert til som en "feil", gjør at smarte kontrakter kan fungere feil uten å krasje. På den annen side, a sentraliseringsspørsmål kan forårsake kompromittering av flere enheter hvis en hacker får tilgang til en delt kodeblokk eller variabel.

CertiK også avdekket flere sentraliseringsproblemer i Rubic Finances SwapContract-smartkontrakt, hvorav en ville gjøre det mulig for en hacker å trekke tilbake ETH/BNB og andre tokens til hackerens adresse.

Tilsyn erstatter ikke sunn fornuft

I stedet for å støtte et prosjekt eller dets eiendeler, tester CertiK smarte kontrakters motstandskraft mot ulike angrepsvektorer. Den vurderer også kontraktenes samsvar med akseptable kodestandarder og sammenligner et prosjekts smarte kontrakter med de som er produsert av industriledere. 

Nøye gransking av CertiKs nettside avslører at selskapet kun reviderer kode gitt av DeFi-protokollen. Det råder interesserte investorer til å gjennomføre sin egen due diligence. I tillegg inneholder rapportene følgende ansvarsfraskrivelse:

«CertiKs posisjon er at hvert selskap og enkeltperson er ansvarlig for sin egen due diligence og kontinuerlige sikkerhet. CertiKs mål er å bidra til å redusere angrepsvektorene og det høye variansnivået knyttet til bruk av nye og konsekvent skiftende teknologier, og krever på ingen måte noen garanti for sikkerhet eller funksjonalitet til teknologien vi godtar å analysere.»

Selv om det ikke er det komplette bildet, kan disse rapportene gi innsikt i et prosjekts risikoer, og bidra til å informere interesserte parter om et prosjekt. Eventuelle foreslåtte endringer i den smarte kontraktskoden kan gjennomgå en protokolls standard stemmegivning prosedyren uten statlig innblanding. 

Coinbase administrerende direktør Brian Armstrong talsmenn at DeFi-protokoller beskyttes av ytringsfrihet i USA i stedet for å bli regulert av lover som regulerer finansielle tjenester.

For Be[In]Cryptos siste Bitcoin (BTC) analyse, Klikk her.