Certik ser att 12 miljoner dollar återvinns från kryptoexploatering trots granskning

Ekologisk stablecoin project Defrost Finance kommer att återbetala 12 miljoner dollar i pengar som stulits till och med den 23 december 2022, exploateras, trots att de genomgått en kodrevision av CertiK.

Avfrostning kommer att använda data i kedjan för att säkerställa korrekt tilldelning av de stulna medlen. Återbetalningen kommer efter att en angripare utnyttjat brister i flera smarta Defrost-kontrakt. Blockchain säkerhet fast Peckshield initialt rapporterade attacken den 23 december 2022.

Tina kunder förlorar 12 miljoner dollar

Hackaren ska ha tömt $173,000 1 genom en flashlånsattack utjämnad mot Defrosts V2-protokoll. I en mer betydande V12-attack stal en gärningsman XNUMX miljoner dollar genom att likvidera användarnas positioner genom en falsk säkerhetstoken och ett skadligt pris orakel. Angripare senare påstås ha stulit 1.4 miljoner dollar från den tekniska aggregatorn Rubic Finance över kedjan, vilket ger upphov till oro över sårbarheter i smart kontraktskod.

Likvidationer sker i Defi när värdet på en användares säkerheter faller under ett låneprotokolls lägsta belåningsgrad. Stablecoin-protokoll som Defrost tillåter användare att sätta in säkerheter för ett evigt stablecoin-lån. Protokollet använder en algoritmiskt anpassad stabilitetsavgift för att fastställa lånets ränta. Införandet av falska säkerheter till V2 äventyrade sannolikt Defrost-användares belåningsgrad, vilket ledde till deras likvidationer.

CertiK-revisioner avslöjar centraliseringsproblem

Både hacka har uppmärksammat de slutsatser som kan dras från revisioner av smarta avtalskoder vid bedömning av legitimiteten hos en Defi projekt. Blockchain-säkerhetsföretaget CertiK var inblandat i båda hackarna, där Defrost och Rubic har genomgått kodrevisioner av företaget. 

CertiK granskas Defrost V1:s smarta kontrakt i november 2021, listar ett kritiskt logiskt problem och fem frågor relaterade till centralisering. Den förra hade lösts vid presstillfället, medan den senare erkändes utan bevis på ytterligare arbete. En logisk fråga, i dagligt tal kallad en "bugg", tillåter smarta kontrakt att fungera felaktigt utan att krascha. Å andra sidan, a centraliseringsfråga kan orsaka kompromiss mellan flera enheter om en hackare får tillgång till ett delat kodblock eller variabel.

CertiK också ojordade flera centraliseringsfrågor i Rubic Finances smarta SwapContract-kontrakt, varav ett skulle göra det möjligt för en hackare att dra tillbaka ETH/BNB och andra tokens till hackarens adress.

Revisioner ersätter inte sunt förnuft

Istället för att stödja ett projekt eller dess tillgångar testar CertiK smarta kontrakts motståndskraft mot olika attackvektorer. Den bedömer också kontraktens överensstämmelse med acceptabla kodningsstandarder och jämför ett projekts smarta kontrakt med de som produceras av branschledare. 

En noggrann granskning av CertiK:s webbplats visar att företaget endast granskar kod som tillhandahålls av DeFi-protokollet. Det råder intresserade investerare att genomföra sin egen due diligence. Dessutom innehåller dess rapporter följande ansvarsfriskrivning:

”CertiKs ståndpunkt är att varje företag och individ ansvarar för sin egen due diligence och kontinuerliga säkerhet. CertiK:s mål är att hjälpa till att minska attackvektorerna och den höga variansnivån som är förknippad med att använda nya och konsekvent föränderliga teknologier, och hävdar inte på något sätt någon garanti för säkerhet eller funktionalitet hos den teknik som vi går med på att analysera.”

Även om det inte är den fullständiga bilden, kan dessa rapporter ge insikter i ett projekts risker och hjälpa till att informera berörda parter om ett projekt. Alla föreslagna ändringar av den smarta kontraktskoden kan genomgå ett protokolls standard rösta förfaranden utan statligt ingripande. 

Coinbase VD Brian Armstrong förespråkar att DeFi-protokollen skyddas av yttrandefriheten i USA snarare än att de regleras av lagar som styr finansiella tjänster.

För Be[In]Cryptos senaste Bitcoin (BTC) analys, Klicka här.