بيئي stablecoin سيعيد مشروع Defrost Finance مبلغ 12 مليون دولار من الأموال المسروقة حتى 23 ديسمبر 2022 ، على الرغم من خضوعه لتدقيق الكود بواسطة CertiK.
أزال الصقيع سوف نستخدم بيانات على السلسلة لضمان التخصيص الصحيح للأموال المسروقة. يأتي رد الأموال بعد أن استغل أحد المهاجمين عيوبًا في العديد من عقود إزالة الجليد الذكية. بلوكشين أمن شركة Peckshield في البداية وذكرت الهجوم في 23 ديسمبر 2022.
عملاء إذابة الجليد يخسرون 12 مليون دولار
وبحسب ما ورد استنفد المخترق 173,000 دولار من خلال هجوم قرض سريع استهدف بروتوكول Defrost's V1. في هجوم V2 أكثر أهمية ، سرق الجاني 12 مليون دولار عن طريق تصفية مواقع المستخدمين من خلال رمز ضمان مزيف وسعر ضار أوراكل. المهاجمين في وقت لاحق يزعم أنه سرق 1.4 مليون دولار من مجمع التكنولوجيا عبر السلاسل Rubic Finance ، مما أثار مخاوف بشأن نقاط الضعف في كود العقد الذكي.
التصفية تحدث في الصدمة عندما تكون قيمة ضمان المستخدم أقل من الحد الأدنى لنسبة القرض إلى القيمة لبروتوكول الإقراض. تتيح بروتوكولات Stablecoin مثل Defrost للمستخدمين إيداع ضمانات للحصول على قرض عملات ثابت دائم. يستخدم البروتوكول رسوم استقرار معدلة حسابيًا لتعيين فائدة القرض. من المحتمل أن يؤدي إدخال الضمانات الزائفة إلى V2 إلى اختراق نسب القرض إلى القيمة لمستخدمي Defrost ، مما يؤدي إلى تصفيتهم.
تكشف عمليات تدقيق الشهادات عن مشكلات المركزية
يبلغ قطر كلاً من الخارقة لفت الانتباه إلى الاستنتاجات التي يمكن استخلاصها من عمليات تدقيق رمز العقد الذكي عند تقييم شرعية a الصدمة مشروع. تورطت شركة CertiK للأمن في Blockchain في كلا الاختراقين ، حيث خضع Defrost و Rubic لعمليات تدقيق التعليمات البرمجية من قبل الشركة.
CertiK دققنا عقود Defrost V1 الذكية في نوفمبر 2021 ، تسرد مشكلة منطقية مهمة وخمس قضايا تتعلق بالمركزية. تم حل المشكلة الأولى في وقت نشر هذا التقرير ، بينما تم الاعتراف بالأخيرة دون دليل على مزيد من العمل. تسمح المشكلة المنطقية ، التي يشار إليها بالعامية باسم "الخطأ" ، بأن تعمل العقود الذكية بشكل غير صحيح دون أن تتعطل. من ناحية أخرى ، أ قضية المركزية يمكن أن يتسبب في اختراق العديد من الكيانات إذا تمكن المتسلل من الوصول إلى كتلة أو متغير رمز مشترك.
CertiK أيضا اكتشفت العديد من مشكلات المركزية في عقد SwapContract الذكي الخاص بـ Rubic Finance ، أحدها سيمكن المتسلل من سحب ETH / BNB والرموز الأخرى إلى عنوان المتسلل.
لا تحل عمليات التدقيق محل الحس السليم
بدلاً من المصادقة على مشروع أو أصوله ، تختبر CertiK مرونة العقود الذكية في مواجهة نواقل الهجوم المختلفة. كما أنه يقيم امتثال العقود لمعايير الترميز المقبولة ويقارن العقود الذكية للمشروع بتلك التي ينتجها قادة الصناعة.
يكشف الفحص الدقيق لموقع CertiK على الويب أن الشركة تقوم فقط بتدقيق الكود الذي يوفره بروتوكول DeFi. تنصح المستثمرين المهتمين بإجراء العناية الواجبة الخاصة بهم. بالإضافة إلى ذلك ، تحتوي تقاريرها على إخلاء المسؤولية التالي:
"موقف CertiK هو أن كل شركة وكل فرد مسؤول عن العناية الواجبة والأمان المستمر. هدف CertiK هو المساعدة في تقليل نواقل الهجوم والمستوى العالي من التباين المرتبط باستخدام تقنيات جديدة ومتغيرة باستمرار ، ولا تدعي بأي حال من الأحوال أي ضمان للأمان أو وظائف التكنولوجيا التي نتفق على تحليلها ".
في حين أن هذه التقارير ليست الصورة الكاملة ، يمكن أن توفر نظرة ثاقبة لمخاطر المشروع ، مما يساعد على إبلاغ الأطراف المهتمة بالمشروع. يمكن أن تخضع أي تغييرات مقترحة على رمز العقد الذكي لمعيار البروتوكول تصويت الإجراءات دون تدخل الحكومة.
الرئيس التنفيذي لشركة Coinbase Brian Armstrong دعاة حماية بروتوكولات DeFi عن طريق حرية التعبير في الولايات المتحدة بدلاً من أن تنظمها القوانين التي تحكم أعمال الخدمات المالية.
ليكون [في] أحدث Crypto إلى البيتكوين (BTC) تحليل ، انقر هنا.
إخلاء المسئولية
تواصلت BeInCrypto مع الشركة أو الفرد المتورط في القصة للحصول على بيان رسمي حول التطورات الأخيرة ، لكنها لم تسمع بعد.
المصدر: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/