นิเวศวิทยา stablecoin โครงการ Defrost Finance จะคืนเงิน 12 ล้านดอลลาร์ที่ถูกขโมยไปจนถึงวันที่ 23 ธันวาคม 2022 โดยหาประโยชน์แม้ว่าจะผ่านการตรวจสอบรหัสโดย CertiK ก็ตาม
ทำน้ำแข็งให้ละลาย จะใช้ ข้อมูลออนไลน์เพื่อให้แน่ใจว่ามีการจัดสรรเงินที่ถูกขโมยไปอย่างถูกต้อง การคืนเงินเกิดขึ้นหลังจากผู้โจมตีใช้ประโยชน์จากข้อบกพร่องในสัญญาสมาร์ท Defrost หลายฉบับ บล็อกเชน ความปลอดภัย บริษัท Peckshield ในขั้นต้น รายงาน การโจมตีเมื่อวันที่ 23 ธันวาคม 2022
ลูกค้าละลายน้ำแข็งเสียเงิน 12 ล้านดอลลาร์
มีรายงานว่าแฮ็กเกอร์ได้ดูดเงินไป 173,000 ดอลลาร์ผ่านการโจมตีด้วยเงินกู้แฟลชในระดับโปรโตคอล V1 ของ Defrost ในการโจมตี V2 ที่สำคัญกว่านั้น ผู้กระทำความผิดขโมยเงิน 12 ล้านดอลลาร์โดยการชำระสถานะของผู้ใช้ผ่านโทเค็นหลักประกันปลอมและราคาที่เป็นอันตราย คำพยากรณ์. ผู้โจมตีในภายหลัง ถูกกล่าวหาว่าขโมย 1.4 ล้านดอลลาร์จาก Rubic Finance ผู้รวบรวมเทคโนโลยีข้ามสาย ทำให้เกิดความกังวลเกี่ยวกับช่องโหว่ในรหัสสัญญาอัจฉริยะ
การชำระบัญชีเกิดขึ้นใน Defi เมื่อมูลค่าของหลักประกันของผู้ใช้ต่ำกว่าอัตราส่วนสินเชื่อต่อมูลค่าขั้นต่ำของโปรโตคอลการให้ยืม โปรโตคอล Stablecoin เช่น Defrost ช่วยให้ผู้ใช้สามารถฝากหลักประกันสำหรับเงินกู้ Stablecoin ถาวรได้ โปรโตคอลใช้ค่าเสถียรภาพที่ปรับตามอัลกอริทึมเพื่อกำหนดดอกเบี้ยของเงินกู้ การนำหลักประกันปลอมมาใช้กับ V2 อาจทำให้อัตราส่วนสินเชื่อต่อมูลค่าของผู้ใช้ Defrost ลดลง ซึ่งนำไปสู่การชำระบัญชี
การตรวจสอบ CertiK เปิดเผยปัญหาการรวมศูนย์
ทั้งสอง แฮ็ก ได้ดึงความสนใจไปที่ข้อสรุปที่สามารถดึงมาจากการตรวจสอบรหัสสัญญาอัจฉริยะเมื่อประเมินความถูกต้องตามกฎหมายของ Defi โครงการ. CertiK บริษัทรักษาความปลอดภัยบล็อคเชนมีส่วนเกี่ยวข้องกับการแฮ็กทั้งสองครั้ง โดยบริษัท Defrost และ Rubic ได้ผ่านการตรวจสอบโค้ดแล้ว
CertiK ผ่านการตรวจสอบ สัญญาอัจฉริยะของ Defrost V1 ในเดือนพฤศจิกายน 2021 แสดงรายการปัญหาตรรกะที่สำคัญและปัญหา XNUMX ประการที่เกี่ยวข้องกับการรวมศูนย์ ก่อนหน้านี้ได้รับการแก้ไขในเวลากด ขณะที่หลังได้รับการยอมรับโดยไม่มีหลักฐานของการทำงานต่อไป ปัญหาด้านลอจิกซึ่งเรียกกันทั่วไปว่า 'บั๊ก' ช่วยให้สัญญาอัจฉริยะทำงานไม่ถูกต้องโดยไม่เกิดปัญหา ในทางกลับกัน ก ปัญหาการรวมศูนย์ อาจทำให้เกิดการประนีประนอมของหลาย ๆ เอนทิตีได้ หากแฮ็กเกอร์เข้าถึงบล็อคโค้ดหรือตัวแปรที่ใช้ร่วมกัน
ใบรับรองด้วย ขุดพบ ปัญหาการรวมศูนย์หลายอย่างใน SwapContract smart contract ของ Rubic Finance ซึ่งหนึ่งในนั้นจะทำให้แฮ็กเกอร์สามารถถอน ETH/BNB และโทเค็นอื่นๆ ไปยังที่อยู่ของแฮ็กเกอร์ได้
การตรวจสอบไม่ได้แทนที่สามัญสำนึก
แทนที่จะสนับสนุนโครงการหรือสินทรัพย์ CertiK ทดสอบความยืดหยุ่นของสัญญาอัจฉริยะต่อเวกเตอร์การโจมตีต่างๆ นอกจากนี้ยังประเมินความสอดคล้องของสัญญากับมาตรฐานการเข้ารหัสที่ยอมรับได้ และเปรียบเทียบสัญญาอัจฉริยะของโครงการกับสัญญาที่ผลิตโดยผู้นำในอุตสาหกรรม
การตรวจสอบเว็บไซต์ของ CertiK อย่างถี่ถ้วนเผยให้เห็นว่าบริษัทตรวจสอบเฉพาะโค้ดที่จัดเตรียมโดยโปรโตคอล DeFi เท่านั้น แนะนำให้นักลงทุนที่สนใจดำเนินการตรวจสอบสถานะของตนเอง นอกจากนี้ รายงานยังมีข้อจำกัดความรับผิดชอบดังต่อไปนี้:
“จุดยืนของ CertiK คือแต่ละบริษัทและแต่ละบุคคลมีหน้าที่รับผิดชอบต่อการตรวจสอบสถานะของตนเองและการรักษาความปลอดภัยอย่างต่อเนื่อง เป้าหมายของ CertiK คือการช่วยลดเวกเตอร์การโจมตีและความแปรปรวนในระดับสูงที่เกี่ยวข้องกับการใช้เทคโนโลยีใหม่และเปลี่ยนแปลงอย่างต่อเนื่อง และไม่มีทางอ้างการรับประกันความปลอดภัยหรือการทำงานของเทคโนโลยีที่เราตกลงที่จะวิเคราะห์”
แม้ว่ารายงานเหล่านี้จะไม่ใช่ภาพที่สมบูรณ์ แต่รายงานเหล่านี้สามารถให้ข้อมูลเชิงลึกเกี่ยวกับความเสี่ยงของโครงการ และช่วยให้ผู้มีส่วนได้เสียทราบเกี่ยวกับโครงการ การเปลี่ยนแปลงใด ๆ ที่เสนอในรหัสสัญญาอัจฉริยะสามารถผ่านมาตรฐานของโปรโตคอลได้ การออกเสียง ขั้นตอนการ โดยปราศจากการแทรกแซงของรัฐบาล.
Brian Armstrong CEO ของ Coinbase สนับสนุน ว่าโปรโตคอล DeFi ได้รับการคุ้มครองโดยเสรีภาพในการพูดในสหรัฐอเมริกา แทนที่จะถูกควบคุมโดยกฎหมายที่ควบคุมธุรกิจบริการทางการเงิน
For Be[In]Crypto's ใหม่ล่าสุด Bitcoin การวิเคราะห์ (BTC) คลิกที่นี่.
ข้อจำกัดความรับผิดชอบ
BeInCrypto ได้ติดต่อกับบริษัทหรือบุคคลที่เกี่ยวข้องในเรื่องนี้เพื่อรับคำชี้แจงอย่างเป็นทางการเกี่ยวกับการพัฒนาล่าสุด แต่ก็ยังไม่ได้รับการตอบกลับ
ที่มา: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/