פלטפורמת מסחר מינוף מבוזר על Avalanche, Defrost Finance דיווח שכל הכספים שאבדו עקב ניצול בפלטפורמה שלה ב-23 בדצמבר הוחזרו ב-26 בדצמבר לאחר טענות על משיכת שטיח אפשרית.
הכספים שנפרצו הוחזרו #DefrostFinance.
המשתמשים המושפעים יוכלו בקרוב מאוד לתבוע את הנכסים שלהם בחזרה.
פרטים 👇https://t.co/RpDqKAK44y
— Defrost Finance 🔺 (@Defrost_Finance) דצמבר 26, 2022
Defrost Finance אישרה כי היא תחזיר את כל הכספים האבודים למשתמשים המנוצלים לאחר סריקת הנתונים ברשת כדי לקבוע את הבעלות וכמות הכספים שבבעלות כל משתמש מושפע.
מוקדם יותר, הפרוטוקול מבוסס Avalanche דיווח שהפלטפורמה נפרצה, כאשר תוקף מושך כספים באמצעות פונקציית הלוואת הבזק.
ב-24 בדצמבר, החברה טענה שרק מוצר V2 שלהם הושפע, ו-V1 נשאר בטוח.
Defrost Finance עצוב להודיע ש-V2 שלנו ספג פריצה, כאשר תוקף משתמש בפונקציית הלוואת פלאש כדי למשוך כספים.
ה-V1 אינו מושפע. בקרוב נסגור את ממשק המשתמש V2 ונחקור עוד עם הצוות הטכנולוגי שלנו.
עדכונים יפורסמו בערוצים הרשמיים שלנו.
— Defrost Finance 🔺 (@Defrost_Finance) דצמבר 24, 2022
עם זאת, ב-25 בדצמבר, הצוות דיווח שההאקר השיג גם את מפתח הבעלים עבור מתקפה גדולה יותר על מוצר V1 של הפלטפורמה.
ההאקר הרוויח כמעט 173 $ מהניצול, לפי חברת הניתוח של הבלוקצ'יין PeckShield.
השמיים @Defrost_Finance מנוצל, מה שמוביל לרווח של ~173 אלף דולר עבור ההאקר. הפריצה מתאפשרת עקב היעדר נעילת כניסה חוזרת לפונקציות flashloan()/deposit(), אשר שימש את ההאקר כדי לתמרן את מחיר המניה של LSWUSDC. pic.twitter.com/SINHUZXC0D
— PeckShieldAlert (@PeckShieldAlert) דצמבר 23, 2022
לאחר ניתוח נוסף, PeckShield גילה שנוספה אסימון בטחונות מזויף. אורקל מחיר זדוני שימש לחיסול משתמשים נוכחיים תמורת הפסד כולל של יותר מ-12 מיליון דולר, מה שמעיד על משיכת שטיחים אפשרית.
בנוסף, חברת האבטחה של הבלוקצ'יין Certik טענה שהניצול היה תרמית יציאה לאחר שלא הצליחו לקבל שום תגובה לשאלותיהם מצוות Defrost Finance.
ב-24 בדצמבר ראינו א #exitscam on @Defrost_Finance
ניסינו ליצור קשר עם מספר חברים בצוות אך לא קיבלנו תגובה.
הצוות אינו מיומן ב-KYC, אך אנו משתמשים בכל המידע שיש לנו כדי לסייע לרשויות pic.twitter.com/XC009dM40T
— CertiKAlert (@CertiKAlert) דצמבר 26, 2022
באותה הערה, DeFiYieldApp, חברת אבטחה Web3, צייץ שהם הזהירו את קהילת DeFi לפני שנה על פגיעות החוזה החכם Defrost Finance שמאפשרת לחברה למשוך את המשתמשים שלה.
למרות שאין אינדיקציות ברורות אם הפריצה הייתה משיכת שטיח, החברה הראתה נכונות לנהל משא ומתן עם ההאקרים כדי להחזיר כספים.
ב-25 בדצמבר, הערך הכולל של הכספים הנעולים על הפרוטוקול ירד לפחות מ-93,000 דולר מ-13.16 מיליון דולר לאחר המתקפה, לפי נתוני DefiLlama.
מקור: https://cryptoslate.com/defrost-finance-says-it-has-recovered-lost-funds-worth-12-million-from-hacker/