Протокол децентрализованной торговли с кредитным плечом Defrost Finance, который недавно сообщил, что его протокол был использован примерно на 12 миллионов долларов США через его продукты V1 и V2, выпустил обновление, в котором говорится, что злоумышленник V1 вернул использованные средства.
«Вскоре мы начнем сканировать данные в сети, чтобы выяснить, кому что принадлежало до взлома, чтобы вернуть их законным владельцам. Поскольку у разных пользователей были разные пропорции активов и долга, этот процесс может занять немного [времени]», — заявили разработчики Defrost Finance через .
По словам команды, первая атака заключалась в использовании последовательности мгновенного кредита для вывода средств из продукта V2. Другой эксплойт был запущен с использованием ключа владельца, получившего доступ к продукту Defrost Finance V1.
В протоколах децентрализованного финансирования ликвидация происходит, когда стоимость залога пользователя падает ниже минимального соотношения кредита к стоимости протокола. Размораживание позволяет пользователям вносить залог для кредита, который протокол использует для расчета процентной ставки по этому кредиту. Поддельное обеспечение, введенное в V2, вероятно, поставило под угрозу соотношение кредита к стоимости пользователей, что привело к их ликвидации.
Протокол построен на основе блокчейна Avalanche. Любопытно, что фирмы по обеспечению безопасности блокчейна, такие как Peckshield, заявили, что атака была скорее внутренней работой и считалась махинацией.
CertiK, еще одна фирма, занимающаяся безопасностью и аудитом блокчейна, подтвердила, что им не удалось установить контакт с командой Defrost Finance, в результате чего фирма разместила предупреждение в своем аккаунте в Twitter, в котором указывалось, что взлом Defrost Finance был мошенничеством. На момент написания официальная учетная запись Defrost Finance в Твиттере либо не могла получать сообщения, либо уже была предварительно настроена, чтобы этого не делать.
В ноябре 2021 года CertiK провела аудит смарт-контрактов Defrost V1 и перечислила критическую логическую проблему и пять проблем, связанных с централизацией. Обе проблемы были решены во время печати; первое было признано без доказательств дальнейшей работы, а второе было признано свидетельством дальнейшей работы.
Термин «ошибка» относится к логической проблеме, которая может привести к неправильной работе смарт-контрактов без сбоя. Логические проблемы возникают, когда смарт-контракты не работают должным образом, тогда как проблемы с централизацией возникают в результате того, что хакер получает доступ к общим блокам кода или переменным.
Первоначальные отчеты об эксплойте показали, что примерно 173,000 1 долларов США были украдены через протокол V1.4, а еще 12 миллиона долларов были получены через Rubic Finance, кроссчейн-агрегатор, связанный с Defrost Finance. Это, наряду с ограблением его продукта V2 на XNUMX миллионов долларов, вызвало опасения по поводу стабильности и безопасности протокола с точки зрения его кода смарт-контракта, поставив под сомнение проблему централизации всей его экосистемы.
Источник: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered.