Жақында оның протоколы V12 және V1 өнімдері арқылы шамамен $2 миллионға пайдаланылғанын ашқан орталықтандырылмаған левередж сауда хаттамасы Defrost Finance, V1 шабуылдаушы пайдаланылған қаражатты қайтарғаны туралы жаңарту шығарды.
«Біз жақын арада деректерді заңды иелеріне қайтару үшін бұзуға дейін кімге тиесілі екенін анықтау үшін желідегі деректерді сканерлеуді бастаймыз. Әртүрлі пайдаланушылардың активтері мен қарыздарының өзгермелі пропорциялары болғандықтан, бұл процесс аз уақыт алуы мүмкін», - деді Defrost Finance әзірлеушілері. .
Команданың айтуынша, бірінші шабуыл оның V2 өнімінен қаражатты ағызу үшін жедел несие тізбегін пайдалануды қамтыды. Defrost Finance компаниясының V1 өніміне қол жеткізе отырып, иесінің кілті арқылы басқа эксплойт іске қосылды.
Орталықтандырылмаған қаржы хаттамаларында жою пайдаланушының кепілінің құны хаттаманың ең төменгі несие-құнға қатынасынан төмен түскенде орын алады. Жібіту пайдаланушыларға несие бойынша кепілдікті депозитке салуға мүмкіндік береді, хаттама осы несие бойынша пайыздық мөлшерлемені есептеу үшін пайдаланады. V2-ге енгізілген жалған кепілдік пайдаланушылардың несиелік құнға қатынасын бұзып, олардың жойылуына әкеліп соқтыруы мүмкін.
Хаттама Avalanche блокчейнінің үстіне салынған. Бір қызығы, Peckshield сияқты блокчейндік қауіпсіздік фирмалары шабуылды ішкі жұмыс деп мәлімдеді және оны кілемше тарту деп санайды.
CertiK, басқа блокчейндік қауіпсіздік және аудиторлық фирма олардың Defrost Finance командасымен байланыс орната алмағанын растады, бұл фирма өзінің Twitter аккаунтында Defrost Finance бұзуы орнынан шығу алаяқтық екенін көрсететін ескерту жариялады. Жазбаны жазу кезінде Defrost Finance ресми Twitter аккаунты хабарды қабылдай алмайды немесе олай етпеу үшін алдын ала конфигурацияланған.
2021 жылдың қарашасында CertiK Defrost V1 смарт келісімшарттарын тексеріп, маңызды логикалық мәселені және орталықтандыруға қатысты бес мәселені тізімдеді. Екі мәселе де баспасөзде шешілді; біріншісі одан әрі жұмыс дәлелдемесіз мойындалды, ал екіншісі одан әрі жұмыс туралы дәлелдемемен мойындалды.
«Қате» термині смарт келісімшарттардың бұзылмай дұрыс жұмыс істемеуіне себеп болатын логикалық мәселені білдіреді. Логикалық мәселелер смарт келісім-шарттар мақсатты түрде жұмыс істемегенде пайда болады, ал орталықтандыру мәселелері хакердің ортақ код блоктарына немесе айнымалы мәндерге қол жеткізуінің нәтижесі болып табылады.
Эксплуатация туралы алғашқы есептер V173,000 хаттамасы арқылы шамамен 1 1.4 доллар жұмсалғанын, ал тағы 12 миллион доллар Derost Finance-пен байланыстырылған тізбекті агрегатор Rubic Finance арқылы алынғанын көрсетті. Бұлар, оның V2 өніміндегі XNUMX миллион долларлық ұрлықпен қатар, протоколның тұрақтылығы мен қауіпсіздігіне оның смарт келісімшарт коды тұрғысынан алаңдаушылық туғызып, оның экожүйесінде орталықтандыру мәселесіне күмән келтірді.
Дереккөз: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered