Defrost Finance вернет $12 млн средств, украденных в результате эксплойта 23 декабря 2022 года. Ранее компания проходила аудит кода у CertiK.
По данным Peckshield – компании, специализирующейся на блокчейн-безопасности – злоумышленник использовал недостатки в нескольких смарт-контрактах Defrost. Чтобы обеспечить правильное распределение украденных средств, Defrost использует ончейн-инструменты.
Пользователи Defrost потеряли $12 млн
Сначала хакер атаковал протокол V1 с помощью флэш-кредита и вывел $173 000. А затем похитил $12 млн, ликвидировав позиции пользователей с помощью поддельного залогового токена и вредоносного ценового оракула. Позже злоумышленники украли $1,4 млн у кроссчейн-агрегатора Rubic Finance, что вызвало обеспокоенность по поводу уязвимостей в коде смарт-контракта.
Ликвидация позиции на DeFi-платформе происходит, когда стоимость залога пользователя падает ниже минимального соотношения займа к стоимости, установленного протоколом кредитования. Стейблкоин-протоколы – такие, как Defrost – позволяют вносить залог для получения бессрочного кредита в стейблкоинах. Протокол использует алгоритмически скорректированную плату для установления процентов по кредиту. Введение фальшивого залога в V2, вероятно, нарушило соотношение займа к стоимости у пользователей Defrost, что привело к их ликвидации.
Аудит CertiK выявил проблемы централизации
CertiK провела аудит смарт-контрактов Defrost V1 в ноябре 2021 года, указав на критические логические проблемы и пять проблем, связанных с централизацией. Логические проблемы позволяют смарт-контрактам с некорректным кодом работать, не вызывая масштабных сбоев. Проблемы с централизацией же могут привести к компрометации нескольких организаций, если хакер получит доступ к общему блоку кода или переменной.
CertiK также обнаружила несколько проблем централизации в смарт-контракте SwapContract у Rubic Finance. Одна из них позволила бы хакеру вывести ETH/BNB и другие токены на сторонний адрес.
Аудиты не заменят здравого смысла
Задача CertiK заключается в проверке устойчивости смарт-контрактов к различным векторам атак. Компания также оценивает соответствие контрактов приемлемым стандартам кодирования и сравнивает смарт-контракты проекта с контрактами, разработанными лидерами отрасли.
При внимательном изучении сайта CertiK выяснилось, что аудитор проверяет только предоставленный клиентом код и советует заинтересованным инвесторам проводить собственное исследование. Кроме того, в отчетах компании содержится следующий отказ от ответственности:
«Позиция CertiK заключается в том, что каждая компания и частное лицо несут ответственность за должную осмотрительность и постоянную безопасность. Цель CertiK – помочь уменьшить векторы атак и высокий уровень разногласий, связанных с использованием новых и постоянно меняющихся технологий. Мы ни в коем случае не претендуем на гарантию безопасности или функциональности технологии, которую соглашаемся анализировать».
И хотя отчеты CertiK не дают полной картины, они позволяют получить представление о рисках проекта и информируют заинтересованные стороны.
