Écologique stablecoin Le projet Defrost Finance restituera 12 millions de dollars de fonds volés jusqu'au 23 décembre 2022, malgré un audit de code par CertiK.
Décongeler utilisera données en chaîne pour garantir la bonne allocation des fonds volés. Le remboursement intervient après qu'un attaquant ait exploité des failles dans plusieurs contrats intelligents Defrost. Chaîne de blocs sécurité entreprise Peckshield initialement rapporté l’attaque du 23 décembre 2022.
Les clients de Defrost perdent 12 millions de dollars
Le pirate informatique aurait drainé 173,000 1 $ grâce à une attaque de prêt flash visant le protocole V2 de Defrost. Dans une attaque V12 plus importante, un auteur a volé XNUMX millions de dollars en liquidant les positions des utilisateurs via un faux jeton de garantie et un prix malveillant. oracle. Les attaquants plus tard aurait volé 1.4 million de dollars de l'agrégateur technologique inter-chaînes Rubic Finance, soulevant des inquiétudes concernant les vulnérabilités du code des contrats intelligents.
Les liquidations ont lieu en DeFi lorsque la valeur de la garantie d'un utilisateur tombe en dessous du ratio prêt/valeur minimum d'un protocole de prêt. Les protocoles Stablecoin comme Defrost permettent aux utilisateurs de déposer des garanties pour un prêt perpétuel de stablecoin. Le protocole utilise des frais de stabilité ajustés par un algorithme pour fixer les intérêts du prêt. L'introduction de fausses garanties dans la V2 a probablement compromis les ratios prêt/valeur des utilisateurs de Defrost, conduisant à leurs liquidations.
Les audits CertiK révèlent des problèmes de centralisation
Les deux hacks ont attiré l'attention sur les conclusions qui peuvent être tirées des audits du code des contrats intelligents lors de l'évaluation de la légitimité d'un DeFi projet. La société de sécurité blockchain CertiK a été impliquée dans les deux piratages, Defrost et Rubic ayant fait l'objet d'audits de code par la société.
CertiK vérifié Les contrats intelligents de Defrost V1 en novembre 2021, répertoriant un problème de logique critique et cinq problèmes liés à la centralisation. Le premier avait été résolu au moment de la mise sous presse, tandis que le second avait été reconnu sans preuve de travaux ultérieurs. Un problème de logique, communément appelé « bug », permet aux contrats intelligents de fonctionner incorrectement sans planter. D'un autre côté, un problème de centralisation peut provoquer la compromission de plusieurs entités si un pirate informatique accède à un bloc de code ou à une variable partagé.
CertiK aussi déterré plusieurs problèmes de centralisation dans le contrat intelligent SwapContract de Rubic Finance, dont l'un permettrait à un pirate informatique de retirer ETH/BNB et d'autres jetons à l'adresse du pirate informatique.
Les audits ne remplacent pas le bon sens
Plutôt que d'approuver un projet ou ses actifs, CertiK teste la résilience des contrats intelligents face à divers vecteurs d'attaque. Il évalue également la conformité des contrats avec des normes de codage acceptables et compare les contrats intelligents d'un projet à ceux produits par les leaders de l'industrie.
Un examen attentif du site Web de CertiK révèle que la société audite uniquement le code fourni par le protocole DeFi. Il conseille aux investisseurs intéressés de procéder à leur propre due diligence. De plus, ses rapports contiennent la clause de non-responsabilité suivante :
« La position de CertiK est que chaque entreprise et chaque individu est responsable de sa propre diligence raisonnable et de sa sécurité continue. L'objectif de CertiK est d'aider à réduire les vecteurs d'attaque et le niveau élevé de variance associés à l'utilisation de technologies nouvelles et en constante évolution, et ne revendique en aucun cas aucune garantie de sécurité ou de fonctionnalité de la technologie que nous acceptons d'analyser.
Bien qu'ils ne donnent pas une image complète, ces rapports peuvent donner un aperçu des risques d'un projet, aidant ainsi à informer les parties intéressées sur un projet. Toute modification proposée au code du contrat intelligent peut être soumise à la norme d'un protocole vote procédure sans intervention du gouvernement.
Le PDG de Coinbase, Brian Armstrong défenseurs que les protocoles DeFi soient protégés par la liberté d'expression aux États-Unis plutôt que d'être réglementés par les lois régissant les entreprises de services financiers.
Pour les dernières nouveautés de Be[In]Crypto Bitcoin (BTC) analyse, cliquez ici .
Clause de non-responsabilité
BeInCrypto a contacté une entreprise ou une personne impliquée dans l'histoire pour obtenir une déclaration officielle sur les développements récents, mais elle n'a pas encore reçu de réponse.
Source : https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/