Ecolegol stablecoin Bydd y prosiect Defrost Finance yn dychwelyd $12 miliwn mewn arian a ddygwyd trwy Ragfyr 23, 2022, yn manteisio, er gwaethaf cael archwiliad cod gan CertiK.
Dadrewi Bydd yn defnyddio data ar gadwyn i sicrhau bod yr arian a ddwynwyd yn cael ei ddyrannu'n gywir. Daw’r ad-daliad ar ôl i ymosodwr ecsbloetio diffygion mewn sawl contract smart Defrost. Blockchain diogelwch cwmni Peckshield i ddechrau Adroddwyd yr ymosodiad ar Rhagfyr 23, 2022.
Cleientiaid dadrewi yn colli $12 miliwn
Dywedir bod yr haciwr wedi draenio $173,000 trwy ymosodiad ar fenthyciad fflach wedi'i lefelu ar brotocol V1 Defrost. Mewn ymosodiad V2 mwy arwyddocaol, fe wnaeth cyflawnwr ddwyn $12 miliwn trwy ddiddymu safleoedd defnyddwyr trwy docyn cyfochrog ffug a phris maleisus gafell. Ymosodwyr yn ddiweddarach honnir dwyn $1.4 miliwn gan y cydgrynwr technoleg traws-gadwyn Rubic Finance, yn codi pryderon ynghylch gwendidau yn y cod contract clyfar.
Mae hylifau yn digwydd yn Defi pan fo gwerth cyfochrog defnyddiwr yn disgyn islaw cymhareb benthyciad-i-werth isafswm protocol benthyca. Mae protocolau Stablecoin fel Defrost yn caniatáu i ddefnyddwyr adneuo cyfochrog ar gyfer benthyciad parhaol stablecoin. Mae'r protocol yn defnyddio ffi sefydlogrwydd wedi'i haddasu'n algorithmig i bennu llog y benthyciad. Roedd cyflwyno cyfochrog ffug i V2 yn debygol o beryglu cymarebau benthyciad-i-werth defnyddwyr Dadrost, gan arwain at eu datodiad.
Archwiliadau CertiK yn Datgelu Materion Canoli
Mae'r ddau haciau wedi tynnu sylw at y casgliadau y gellir eu tynnu o archwiliadau cod contract clyfar wrth asesu cyfreithlondeb Defi prosiect. Roedd cwmni diogelwch Blockchain CertiK yn gysylltiedig â'r ddau hac, gyda Defrost a Rubic wedi cael archwiliadau cod gan y cwmni.
CertiK harchwilio Dadrewi contractau smart V1 ym mis Tachwedd 2021, gan restru mater rhesymeg hollbwysig a phum mater yn ymwneud â chanoli. Roedd y cyntaf wedi'i ddatrys yn ystod amser y wasg, tra bod yr olaf wedi'i gydnabod heb dystiolaeth o waith pellach. Mae mater rhesymeg, y cyfeirir ato ar lafar fel 'bug,' yn caniatáu i gontractau smart weithredu'n anghywir heb ddamwain. Ar y llaw arall, a mater canoli Gall achosi cyfaddawd sawl endid os yw haciwr yn cael mynediad at floc cod neu newidyn a rennir.
CertiK hefyd wedi'i ddosbarthu nifer o faterion canoli yng nghontract smart SwapContract Rubic Finance, a byddai un ohonynt yn galluogi haciwr i dynnu ETH/BNB a thocynnau eraill i gyfeiriad yr haciwr.
Nid yw Archwiliadau yn Disodli Synnwyr Cyffredin
Yn hytrach na chymeradwyo prosiect neu ei asedau, mae CertiK yn profi gwytnwch contractau smart i fectorau ymosod amrywiol. Mae hefyd yn asesu cydymffurfiaeth contractau â safonau codio derbyniol ac yn cymharu contractau smart prosiect â'r rhai a gynhyrchir gan arweinwyr diwydiant.
Mae craffu gofalus ar wefan CertiK yn datgelu mai dim ond y cod a ddarperir gan y protocol DeFi y mae'r cwmni'n ei archwilio. Mae'n cynghori buddsoddwyr sydd â diddordeb i gynnal eu diwydrwydd dyladwy eu hunain. Yn ogystal, mae ei adroddiadau yn cynnwys yr ymwadiad a ganlyn:
“Safbwynt CertiK yw bod pob cwmni ac unigolyn yn gyfrifol am eu diwydrwydd dyladwy a’u diogelwch parhaus eu hunain. Nod CertiK yw helpu i leihau’r fectorau ymosodiad a’r lefel uchel o amrywiant sy’n gysylltiedig â defnyddio technolegau newydd sy’n newid yn gyson, ac nid yw’n honni unrhyw warant o ddiogelwch nac ymarferoldeb y dechnoleg yr ydym yn cytuno i’w dadansoddi.”
Er nad ydynt yn ddarlun cyflawn, gall yr adroddiadau hyn roi cipolwg ar risgiau prosiect, gan helpu i hysbysu partïon â diddordeb am brosiect. Gall unrhyw newidiadau arfaethedig i'r cod contract smart fynd trwy safon protocol pleidleisio gweithdrefn heb ymyrraeth gan y llywodraeth.
Prif Swyddog Gweithredol Coinbase, Brian Armstrong eiriolwyr bod protocolau DeFi yn cael eu hamddiffyn gan ryddid i lefaru yn yr Unol Daleithiau yn hytrach na chael eu rheoleiddio gan gyfreithiau sy'n llywodraethu busnesau gwasanaethau ariannol.
Ar gyfer y diweddaraf Be[In]Crypto Bitcoin Dadansoddiad (BTC), cliciwch yma.
Ymwadiad
Mae BeInCrypto wedi estyn allan at gwmni neu unigolyn sy'n ymwneud â'r stori i gael datganiad swyddogol am y datblygiadau diweddar, ond nid yw wedi clywed yn ôl eto.
Ffynhonnell: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/