Ekologis stablecoin project Defrost Finance akan mengembalikan $12 juta dana yang dicuri hingga 23 Desember 2022, mengeksploitasi, meskipun menjalani audit kode oleh CertiK.
Menghilangkan bekuan es akan menggunakan data on-chain untuk memastikan alokasi yang benar dari dana yang dicuri. Pengembalian dana dilakukan setelah penyerang mengeksploitasi kelemahan dalam beberapa kontrak pintar Defrost. Blockchain keamanan perusahaan Peckshield awalnya melaporkan serangan pada 23 Desember 2022.
Klien Defrost Kehilangan $12 Juta
Peretas dilaporkan menguras $173,000 melalui serangan flash loan yang ditujukan pada protokol V1 Defrost. Dalam serangan V2 yang lebih signifikan, pelaku mencuri $12 juta dengan melikuidasi posisi pengguna melalui token jaminan palsu dan harga berbahaya peramal. Penyerang nanti diduga mencuri $1.4 juta dari agregator teknologi lintas rantai, Rubic Finance, meningkatkan kekhawatiran tentang kerentanan dalam kode kontrak pintar.
Likuidasi terjadi di Defi ketika nilai agunan pengguna berada di bawah rasio pinjaman terhadap nilai minimum protokol peminjaman. Protokol stablecoin seperti Defrost memungkinkan pengguna menyetor jaminan untuk pinjaman stablecoin abadi. Protokol menggunakan biaya stabilitas yang disesuaikan secara algoritme untuk menetapkan bunga pinjaman. Pengenalan agunan palsu ke V2 kemungkinan besar membahayakan rasio pinjaman terhadap nilai pengguna Defrost, yang menyebabkan likuidasi mereka.
Audit CertiK Mengungkapkan Masalah Sentralisasi
Kedua hacks telah menarik perhatian pada kesimpulan yang dapat ditarik dari audit kode kontrak pintar saat menilai keabsahan a Defi proyek. Perusahaan keamanan Blockchain CertiK terlibat dalam kedua peretasan, dengan Defrost dan Rubic telah menjalani audit kode oleh perusahaan.
CertiK diaudit Kontrak pintar Defrost V1 pada November 2021, mencantumkan masalah logika kritis dan lima masalah terkait sentralisasi. Yang pertama telah diselesaikan pada saat pers, sedangkan yang terakhir diakui tanpa bukti pekerjaan lebih lanjut. Masalah logika, bahasa sehari-hari disebut sebagai 'bug', memungkinkan kontrak pintar beroperasi secara tidak benar tanpa mogok. Di sisi lain, a masalah sentralisasi dapat menyebabkan kompromi beberapa entitas jika peretas mendapatkan akses ke blok atau variabel kode bersama.
CertiK juga digali beberapa masalah sentralisasi dalam kontrak pintar SwapContract Rubic Finance, salah satunya akan memungkinkan peretas untuk menarik ETH/BNB dan token lainnya ke alamat peretas.
Audit Jangan Mengganti Akal Sehat
Daripada mendukung proyek atau asetnya, CertiK menguji ketahanan kontrak pintar terhadap berbagai vektor serangan. Itu juga menilai kepatuhan kontrak dengan standar pengkodean yang dapat diterima dan membandingkan kontrak pintar proyek dengan yang diproduksi oleh para pemimpin industri.
Pengamatan yang cermat terhadap situs web CertiK mengungkapkan bahwa perusahaan hanya mengaudit kode yang disediakan oleh protokol DeFi. Ini menyarankan investor yang tertarik untuk melakukan uji tuntas mereka sendiri. Selain itu, laporannya berisi penafian berikut:
“Posisi CertiK adalah bahwa setiap perusahaan dan individu bertanggung jawab atas uji tuntas dan keamanan berkelanjutan mereka sendiri. Sasaran CertiK adalah untuk membantu mengurangi vektor serangan dan varians tingkat tinggi yang terkait dengan pemanfaatan teknologi baru dan terus berubah, dan sama sekali tidak mengklaim jaminan keamanan atau fungsionalitas teknologi yang kami sepakati untuk dianalisis.”
Meskipun bukan gambaran lengkap, laporan ini dapat memberikan wawasan tentang risiko proyek, membantu memberi tahu pihak yang berkepentingan tentang proyek. Setiap perubahan yang diusulkan pada kode kontrak pintar dapat menjalani standar protokol pemungutan suara Prosedur tanpa campur tangan pemerintah.
CEO Coinbase Brian Armstrong pendukung bahwa protokol DeFi dilindungi oleh kebebasan berbicara di Amerika Serikat daripada diatur oleh undang-undang yang mengatur bisnis jasa keuangan.
Untuk Be[In]Crypto terbaru Bitcoin (BTC) analisis, klik disini.
Penolakan tanggung jawab
BeInCrypto telah menghubungi perusahaan atau individu yang terlibat dalam cerita tersebut untuk mendapatkan pernyataan resmi tentang perkembangan terakhir, tetapi belum ada tanggapan.
Sumber: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/