Protocole de trading à effet de levier décentralisé Defrost Finance, qui a récemment révélé que son protocole avait été exploité pour environ 12 millions de dollars via ses produits V1 et V2, a publié une mise à jour indiquant que l'attaquant V1 a restitué les fonds exploités.
«Nous allons bientôt commencer à scanner les données en chaîne pour savoir qui possédait quoi avant le piratage afin de les restituer aux propriétaires légitimes. Comme différents utilisateurs avaient des proportions variables d'actifs et de dettes, ce processus pourrait prendre un peu [de temps] », ont déclaré les développeurs de Defrost Finance à travers un .
Selon l'équipe, la première attaque impliquait l'utilisation d'une séquence de prêt flash pour drainer des fonds de son produit V2. Un autre exploit a été lancé à l'aide de la clé propriétaire, donnant accès au produit V1 de Defrost Finance.
Dans les protocoles de financement décentralisés, les liquidations se produisent lorsque la valeur de la garantie d'un utilisateur tombe en dessous du ratio prêt/valeur minimum d'un protocole. Le dégivrage permet aux utilisateurs de déposer une garantie pour un prêt, que le protocole utilise pour calculer le taux d'intérêt sur ce prêt. Les fausses garanties introduites dans la V2 ont probablement compromis les ratios prêt/valeur des utilisateurs, entraînant leur liquidation.
Le protocole est construit au-dessus de la blockchain Avalanche. Ce qui est curieux, c'est que les entreprises de sécurité blockchain telles que Peckshield ont affirmé que l'attaque était davantage un travail interne et a été considérée comme un tirage au sort.
CertiK, une autre société de sécurité et d'audit blockchain, a confirmé qu'elle n'avait pas été en mesure d'établir un contact avec l'équipe de Defrost Finance, ce qui a conduit la société à publier un avertissement sur son compte Twitter indiquant que le piratage de Defrost Finance était plutôt une arnaque à la sortie. Au moment de la rédaction de cet article, le compte Twitter officiel de Defrost Finance pourrait ne pas être en mesure de recevoir des messages ou être déjà préconfiguré pour ne pas le faire.
En novembre 2021, CertiK a audité les contrats intelligents de Defrost V1 et a répertorié un problème de logique critique et cinq problèmes liés à la centralisation. Les deux problèmes ont été résolus au moment de mettre sous presse; le premier a été reconnu sans preuve de travaux supplémentaires, tandis que le second a été reconnu avec la preuve de travaux supplémentaires.
Le terme « bogue » fait référence à un problème de logique, qui peut entraîner un fonctionnement incorrect des contrats intelligents sans plantage. Des problèmes de logique surviennent lorsque les contrats intelligents ne fonctionnent pas comme prévu, tandis que les problèmes de centralisation résultent de l'accès d'un pirate à des blocs de code ou à des variables partagés.
Les rapports initiaux sur l'exploit ont révélé qu'environ 173,000 1 dollars avaient été drainés via le protocole V1.4, tandis qu'un autre 12 million de dollars avait été prélevé via Rubic Finance, un agrégateur inter-chaînes lié à Defrost Finance. Ceux-ci, ainsi que le braquage de 2 millions de dollars sur son produit VXNUMX, ont soulevé des inquiétudes quant à la stabilité et à la sécurité du protocole en termes de code de contrat intelligent, remettant en question la question de la centralisation dans son écosystème.
Source : https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recover