saffron 26 28 декабря, 2022 Defrost Finance вернет $12 млн средств, украденных в результате эксплойта 23 декабря 2022 года. Ранее компания проходила аудит кода у CertiK. По данным Peckshield – компании, специализирующейся на блокчейн-безопасности – злоумышленник использовал недостатки в нескольких смарт-контрактах Defrost. Чтобы обеспечить правильное распределение украденных средств, Defrost использует ончейн-инструменты. Пользователи Defrost потеряли $12 млн Сначала хакер атаковал протокол V1 с помощью флэш-кредита и вывел $173 000. А затем похитил $12 млн, ликвидировав позиции пользователей с помощью поддельного залогового токена и вредоносного ценового оракула. Позже злоумышленники украли $1,4 млн у кроссчейн-агрегатора Rubic Finance, что вызвало обеспокоенность по поводу уязвимостей в коде смарт-контракта. Ликвидация позиции на DeFi-платформе происходит, когда стоимость залога пользователя падает ниже минимального соотношения займа к стоимости, установленного протоколом кредитования. Стейблкоин-протоколы – такие, как Defrost – позволяют вносить залог для получения бессрочного кредита в стейблкоинах. Протокол использует алгоритмически скорректированную плату для установления процентов по кредиту. Введение фальшивого залога в V2, вероятно, нарушило соотношение займа к стоимости у пользователей Defrost, что привело к их ликвидации. Аудит CertiK выявил проблемы централизации CertiK провела аудит смарт-контрактов Defrost V1 в ноябре 2021 года, указав на критические логические проблемы и пять проблем, связанных с централизацией. Логические проблемы позволяют смарт-контрактам с некорректным кодом работать, не вызывая масштабных сбоев. Проблемы с централизацией же могут привести к компрометации нескольких организаций, если хакер получит доступ к общему блоку кода или переменной. CertiK также обнаружила несколько проблем централизации в смарт-контракте SwapContract у Rubic Finance. Одна из них позволила бы хакеру вывести ETH/BNB и другие токены на сторонний адрес. Аудиты не заменят здравого смысла Задача CertiK заключается в проверке устойчивости смарт-контрактов к различным векторам атак. Компания также оценивает соответствие контрактов приемлемым стандартам кодирования и сравнивает смарт-контракты проекта с контрактами, разработанными лидерами отрасли. При внимательном изучении сайта CertiK выяснилось, что аудитор проверяет только предоставленный клиентом код и советует заинтересованным инвесторам проводить собственное исследование. Кроме того, в отчетах компании содержится следующий отказ от ответственности: «Позиция CertiK заключается в том, что каждая компания и частное лицо несут ответственность за должную осмотрительность и постоянную безопасность. Цель CertiK – помочь уменьшить векторы атак и высокий уровень разногласий, связанных с использованием новых и постоянно меняющихся технологий. Мы ни в коем случае не претендуем на гарантию безопасности или функциональности технологии, которую соглашаемся анализировать». И хотя отчеты CertiK не дают полной картины, они позволяют получить представление о рисках проекта и информируют заинтересованные стороны. Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram. Прочитать новость на сайте Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
