אֵקוֹלוֹגִי stablecoin פרויקט Defrost Finance יחזיר 12 מיליון דולר בכספים שנגנבו עד 23 בדצמבר 2022, ניצול, למרות שעבר ביקורת קוד על ידי CertiK.
להפשיר אשתמש נתונים על השרשרת כדי להבטיח הקצאה נכונה של הכספים הגנובים. ההחזר מגיע לאחר שתוקף ניצל פגמים במספר חוזים חכמים של Defrost. בלוקצ'יין אבטחה המשרד Peckshield בתחילה דיווח המתקפה ב-23 בדצמבר 2022.
לקוחות הפשרה מפסידים 12 מיליון דולר
על פי הדיווחים, ההאקר גזל 173,000 דולר באמצעות מתקפת הלוואת פלאש בפרוטוקול V1 של Defrost. במתקפת V2 משמעותית יותר, עבריין גנב 12 מיליון דולר על ידי חיסול פוזיציות של משתמשים באמצעות אסימון בטחונות מזויף ומחיר זדוני אורקל. תוקפים מאוחר יותר לכאורה גנב 1.4 מיליון דולר מהצובר הטכנולוגי חוצה שרשרת Rubic Finance, מה שמעלה חששות לגבי נקודות תורפה בקוד חוזים חכמים.
חיסולים מתרחשים ב DeFi כאשר ערך הביטחונות של משתמש יורד מתחת ליחס הלוואה לערך המינימלי של פרוטוקול הלוואה. פרוטוקולי Stablecoin כמו Defrost מאפשרים למשתמשים להפקיד בטחונות עבור הלוואת stablecoin תמידית. הפרוטוקול משתמש בעמלת יציבות מותאמת אלגוריתמית כדי לקבוע את ריבית ההלוואה. הכנסת בטחונות מזויפים ל-V2 כנראה פגעה ביחסי ההלוואה לערך של משתמשי Defrost, והובילה לפירוקם.
ביקורת CertiK חושפת בעיות ריכוזיות
שניהם פריצות הפנו את תשומת הלב למסקנות שניתן להסיק מביקורות קוד חוזים חכמים בעת הערכת הלגיטימיות של א DeFi פּרוֹיֶקט. חברת האבטחה של Blockchain CertiK הייתה מעורבת בשתי הפריצות, כאשר Defrost ו-Rubic עברו ביקורת קוד על ידי החברה.
CertiK מבוקר הפשרה של החוזים החכמים של V1 בנובמבר 2021, ומפרטת בעיה לוגית קריטית וחמש בעיות הקשורות לריכוזיות. הראשון נפתר בזמן העיתונות, בעוד שהאחרון זכה להכרה ללא ראיות לעבודה נוספת. בעיה לוגית, המכונה בפי העם 'באג', מאפשרת לחוזים חכמים לפעול בצורה שגויה מבלי לקרוס. מצד שני, א בעיית ריכוזיות יכול לגרום לפשרה של מספר ישויות אם האקר מקבל גישה לבלוק קוד משותף או משתנה.
גם CertiK נחשף מספר בעיות ריכוזיות בחוזה החכם SwapContract של Rubic Finance, שאחת מהן תאפשר להאקר למשוך ETH/BNB ואסימונים אחרים לכתובת ההאקר.
ביקורות אינן מחליפות את השכל הישר
במקום לתמוך בפרויקט או בנכסיו, CertiK בודקת את העמידות של חוזים חכמים בפני וקטורי תקיפה שונים. הוא גם מעריך את עמידתם של החוזים בתקני קידוד מקובלים ומשווה את החוזים החכמים של הפרויקט לאלו המיוצרים על ידי מובילי התעשייה.
בדיקה מדוקדקת של אתר האינטרנט של CertiK מגלה שהחברה בוחנת רק את הקוד המסופק על ידי פרוטוקול DeFi. הוא מייעץ למשקיעים המעוניינים לבצע בדיקת נאותות משלהם. בנוסף, הדוחות שלה מכילים את כתב הוויתור הבא:
"עמדת CertiK היא שכל חברה ופרט אחראים לבדיקת נאותות משלהם ולביטחון מתמשך. המטרה של CertiK היא לעזור להפחית את וקטורי ההתקפה ואת רמת השונות הגבוהה הקשורה בשימוש בטכנולוגיות חדשות ומשתנות באופן עקבי, ובשום אופן לא טוענת לכל ערובה לאבטחה או לתפקוד של הטכנולוגיה שאנו מסכימים לנתח."
אמנם לא התמונה המלאה, אך דוחות אלה יכולים לספק תובנות לגבי הסיכונים של פרויקט, ולסייע ליידע גורמים מעוניינים לגבי פרויקט. כל שינוי מוצע לקוד החוזה החכם יכול לעבור תקן של פרוטוקול הצבעה הליך ללא התערבות ממשלתית.
Coinbase מנכ"ל בריאן ארמסטרונג עורכי דין כי פרוטוקולי DeFi יהיו מוגנים על ידי חופש הביטוי בארצות הברית במקום להיות מוסדרים על ידי חוקים המסדירים עסקי שירותים פיננסיים.
לעדכון האחרון של Be[In]Crypto ביטקוין ניתוח (BTC), לחץ כאן.
כתב ויתור
BeInCrypto פנתה לחברה או לאדם המעורבים בסיפור כדי לקבל הצהרה רשמית על ההתפתחויות האחרונות, אך היא עדיין לא קיבלה תשובה.
מקור: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/