ეკოლოგიური სტაბილური პროექტი დეფროსტ ფინანსი დააბრუნებს 12 მილიონ აშშ დოლარს მოპარულ ფულს, რომელიც მოიპარეს 23 წლის 2022 დეკემბრის ექსპლოატაციით, მიუხედავად CertiK-ის მიერ კოდის აუდიტის გავლისა.
ყინვა გამოიყენებს ჯაჭვური მონაცემები მოპარული თანხების სწორად განაწილების უზრუნველსაყოფად. თანხის დაბრუნება ხდება მას შემდეგ, რაც თავდამსხმელმა გამოიყენა ხარვეზები მრავალჯერადი გაყინვის სმარტ კონტრაქტებში. ბლოკჩეინი უსაფრთხოების ფირმა Peckshield თავდაპირველად იტყობინება თავდასხმა 23 წლის 2022 დეკემბერს.
გაყინვის კლიენტები კარგავენ $12 მილიონს
გავრცელებული ინფორმაციით, ჰაკერმა 173,000 აშშ დოლარი დახარჯა დეფროსტის V1 პროტოკოლზე განხორციელებული სწრაფი სესხის შეტევის შედეგად. უფრო მნიშვნელოვანი V2 თავდასხმის დროს, დამნაშავემ მოიპარა 12 მილიონი დოლარი მომხმარებელთა პოზიციების ლიკვიდაციით ყალბი გირაოს ნიშნით და მავნე ფასით. Oracle. თავდამსხმელები მოგვიანებით სავარაუდოდ მოიპარეს 1.4 მილიონი დოლარი ჯვარედინი ტექნოლოგიური აგრეგატორისგან Rubic Finance, რაც იწვევს შეშფოთებას ჭკვიანი კონტრაქტის კოდში დაუცველობის შესახებ.
ლიკვიდაციები ხდება Defi როდესაც მომხმარებლის გირაოს ღირებულება ეცემა სესხის გაცემის პროტოკოლის მინიმალური სესხისა და ღირებულების თანაფარდობას. Stablecoin პროტოკოლები, როგორიცაა Defrost, მომხმარებლებს საშუალებას აძლევს შეიტანონ გირაო მუდმივი stablecoin სესხისთვის. პროტოკოლი იყენებს ალგორითმულად მორგებულ სტაბილურობის საკომისიოს სესხის პროცენტის დასადგენად. ყალბი გირაოს დანერგვამ V2-ში, სავარაუდოდ, დაარღვია დეფროსტის მომხმარებლების სესხი-ღირებულების კოეფიციენტები, რამაც გამოიწვია მათი ლიკვიდაცია.
CertiK აუდიტი ავლენს ცენტრალიზაციის საკითხებს
ორივე hacks ყურადღება გაამახვილეს იმ დასკვნებზე, რომლებიც შეიძლება გამოვიტანოთ ჭკვიანი კონტრაქტის კოდების აუდიტიდან, როდესაც შეაფასებს კანონიერებას Defi პროექტი. ბლოკჩეინის უსაფრთხოების ფირმა CertiK ჩართული იყო ორივე ჰაკში, დეფროსტმა და რუბიკმა გაიარეს კოდის აუდიტი კომპანიის მიერ.
CertiK აუდიტი გაყინეთ V1-ის ჭკვიანი კონტრაქტები 2021 წლის ნოემბერში, სადაც ჩამოთვლილია კრიტიკული ლოგიკური საკითხი და ცენტრალიზაციასთან დაკავშირებული ხუთი საკითხი. პირველი გადაწყდა პრესის დროს, ხოლო მეორე აღიარებული იქნა შემდგომი მუშაობის მტკიცებულების გარეშე. ლოგიკური საკითხი, რომელიც კოლოკვიურად მოიხსენიება, როგორც "შეცდომა", საშუალებას აძლევს ჭკვიან კონტრაქტებს არასწორად იმუშაონ ავარიის გარეშე. მეორე მხრივ, ა ცენტრალიზაციის საკითხი შეიძლება გამოიწვიოს რამდენიმე სუბიექტის კომპრომისი, თუ ჰაკერი მიიღებს წვდომას საზიარო კოდის ბლოკზე ან ცვლადზე.
CertiK ასევე აღმოჩენილი Rubic Finance-ის SwapContract-ის სმარტ კონტრაქტში ცენტრალიზაციის რამდენიმე საკითხი, რომელთაგან ერთი ჰაკერს საშუალებას მისცემს გაიყვანოს ETH/BNB და სხვა ტოკენები ჰაკერის მისამართზე.
აუდიტები არ ცვლის საღი აზროვნებას
იმის ნაცვლად, რომ მხარი დაუჭიროს პროექტს ან მის აქტივებს, CertiK ამოწმებს ჭკვიანი კონტრაქტების მდგრადობას სხვადასხვა შეტევის ვექტორების მიმართ. ის ასევე აფასებს კონტრაქტების შესაბამისობას კოდირების მისაღებ სტანდარტებთან და ადარებს პროექტის ჭკვიან კონტრაქტებს ინდუსტრიის ლიდერების მიერ წარმოებულ კონტრაქტებთან.
CertiK-ის ვებსაიტის ფრთხილად შესწავლა ცხადყოფს, რომ კომპანია ამოწმებს მხოლოდ DeFi პროტოკოლით მოწოდებულ კოდს. ის დაინტერესებულ ინვესტორებს ურჩევს ჩაატარონ საკუთარი სათანადო გამოკვლევა. გარდა ამისა, მისი ანგარიშები შეიცავს შემდეგ უარყოფას:
„CertiK-ის პოზიციაა, რომ თითოეული კომპანია და ინდივიდი პასუხისმგებელია საკუთარ გულმოდგინებაზე და უწყვეტ უსაფრთხოებაზე. CertiK-ის მიზანია დაეხმაროს შეტევის ვექტორების შემცირებას და დისპერსიის მაღალი დონის შემცირებას, რომელიც დაკავშირებულია ახალი და მუდმივად ცვალებადი ტექნოლოგიების გამოყენებასთან და არავითარ შემთხვევაში არ მოითხოვს უსაფრთხოების ან ფუნქციონალურობის გარანტიას იმ ტექნოლოგიის შესახებ, რომელსაც ჩვენ ვაანალიზებთ“.
მიუხედავად იმისა, რომ არ არის სრული სურათი, ამ ანგარიშებს შეუძლიათ წარმოადგინონ პროექტის რისკების შესახებ ინფორმაცია, რაც დაეხმარება დაინტერესებულ მხარეებს პროექტის შესახებ. ნებისმიერი შემოთავაზებული ცვლილება ჭკვიანი კონტრაქტის კოდში შეიძლება გაიაროს პროტოკოლის სტანდარტი ხმის მიცემა პროცედურა მთავრობის ჩარევის გარეშე.
Coinbase CEO ბრაიან არმსტრონგი ადვოკატები რომ DeFi პროტოკოლები დაცული უნდა იყოს სიტყვის თავისუფლებით შეერთებულ შტატებში, ვიდრე რეგულირდება კანონებით, რომლებიც არეგულირებენ ფინანსური სერვისების ბიზნესს.
Be[In]Crypto-ს უახლესი სიახლეებისთვის ვიკიპედია (BTC) ანალიზი, დააკლიკე აქ.
პასუხისმგებლობის შეზღუდვის განაცხადი
BeInCrypto-მ დაუკავშირდა კომპანიას ან პიროვნებას, რომელიც მონაწილეობდა ამბავში, რათა მიიღო ოფიციალური განცხადება ბოლო მოვლენების შესახებ, მაგრამ მას ჯერ არ მოუსმენია.
წყარო: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/