Certik redz, ka no Crypto Exploit, neskatoties uz auditu, ir atgūti 12 miljoni USD

Ekoloģiski stabilitāte Projekts Defrost Finance atdos līdz 12. gada 23. decembrim nozagtos līdzekļus 2022 miljonu dolāru apmērā, neskatoties uz to, ka CertiK veicis koda auditu.

Atkausēšana izmantos ķēdes datus, lai nodrošinātu pareizu nozagto līdzekļu sadali. Atmaksa tiek saņemta pēc tam, kad uzbrucējs izmantoja nepilnības vairākos Atkausēšanas viedos līgumos. Blockchain drošība sākotnēji firma Peckshield ziņots uzbrukums 23. gada 2022. decembrī.

Atkausēšanas klienti zaudē 12 miljonus USD

Tiek ziņots, ka hakeris iztērēja 173,000 1 USD, izmantojot ātro kredīta uzbrukumu, kas tika izlīdzināts Defrost V2 protokolā. Nozīmīgākā V12 uzbrukumā vainīgais nozaga XNUMX miljonus ASV dolāru, likvidējot lietotāju pozīcijas, izmantojot viltotu nodrošinājuma marķieri un ļaunprātīgu cenu. orākuls. Uzbrucēji vēlāk it kā nozaga 1.4 miljonus ASV dolāru no starpķēžu tehnoloģiju apkopotāja Rubic Finance, radot bažas par viedā līguma koda ievainojamību.

gadā notiek likvidācijas DEFI ja lietotāja nodrošinājuma vērtība ir zemāka par aizdevuma protokolā noteikto minimālo aizdevuma un vērtības attiecību. Stablecoin protokoli, piemēram, Defrost, ļauj lietotājiem noguldīt nodrošinājumu pastāvīgam stabilas monētas aizdevumam. Protokolā tiek izmantota algoritmiski pielāgota stabilitātes maksa, lai noteiktu aizdevuma procentus. Viltus nodrošinājuma ieviešana V2, iespējams, apdraudēja Defrost lietotāju aizdevuma un vērtības attiecību, izraisot viņu likvidāciju.

CertiK auditi atklāj centralizācijas problēmas

Abi hacks ir vērsuši uzmanību uz secinājumiem, ko var izdarīt no viedo līgumu kodu auditiem, novērtējot līguma likumību. DEFI projektu. Blockchain drošības firma CertiK bija iesaistīta abos uzlaušanas gadījumos, un uzņēmums veica kodu auditu Defrost un Rubic. 

CertiK pārbaudīts Atkausējiet V1 viedos līgumus 2021. gada novembrī, uzskaitot būtisku loģikas problēmu un piecas problēmas, kas saistītas ar centralizāciju. Pirmais bija atrisināts preses laikā, bet otrais tika atzīts bez pierādījumiem par turpmāku darbu. Loģikas problēma, sarunvalodā saukta par "kļūdu", ļauj viedajiem līgumiem darboties nepareizi, bez avārijām. No otras puses, a centralizācijas jautājums var izraisīt vairāku entītiju kompromitēšanu, ja hakeris iegūst piekļuvi koplietotam koda blokam vai mainīgajam.

CertiK arī atklāts vairākas centralizācijas problēmas Rubic Finance viedajā līgumā SwapContract, no kurām viena ļautu hakeram izņemt ETH/BNB un citus marķierus uz hakera adresi.

Auditi neaizstāj veselo saprātu

Tā vietā, lai apstiprinātu projektu vai tā līdzekļus, CertiK pārbauda viedo līgumu noturību pret dažādiem uzbrukuma vektoriem. Tas arī novērtē līgumu atbilstību pieņemamiem kodēšanas standartiem un salīdzina projekta viedos līgumus ar nozares līderu izstrādātajiem līgumiem. 

Rūpīgi pārbaudot CertiK vietni, atklājas, ka uzņēmums pārbauda tikai kodu, ko nodrošina DeFi protokols. Tā iesaka ieinteresētajiem ieguldītājiem pašiem veikt uzticamības pārbaudi. Turklāt tā pārskatos ir ietverta šāda atruna:

“CertiK nostāja ir tāda, ka katrs uzņēmums un privātpersona ir atbildīgs par savu rūpību un nepārtrauktu drošību. CertiK mērķis ir palīdzēt samazināt uzbrukuma vektorus un augsto dispersijas līmeni, kas saistīts ar jaunu un konsekventi mainīgu tehnoloģiju izmantošanu, un tas nekādā gadījumā nepretendē uz drošības vai funkcionalitātes garantijām tehnoloģijai, kuru mēs piekrītam analizēt.

Lai gan šie pārskati nav pilnīgs attēls, tie var sniegt ieskatu par projekta riskiem, palīdzot informēt ieinteresētās puses par projektu. Visas ierosinātās viedā līguma koda izmaiņas var tikt pakļautas protokola standartam balsošana procedūra bez valdības iejaukšanās. 

Coinbase vadītājs Brian Armstrong advokāti ka DeFi protokolus ASV aizsargā vārda brīvība, nevis regulē likumi, kas regulē finanšu pakalpojumu biznesu.

Par Be[In]Crypto jaunāko Bitcoin (BTC) analīze, noklikšķiniet šeit.