El proyecto de moneda estable ecológica Defrost Finance devolverá USD 12 millones en fondos robados hasta el exploit del 23 de diciembre de 2022, a pesar de someterse a una auditoría de código por parte de CertiK.
Descongelar utilizará datos en cadena para garantizar la asignación correcta de los fondos robados. El reembolso se produce después de que un atacante explotara fallas en múltiples contratos inteligentes de Defrost. La empresa de seguridad Blockchain Peckshield inicialmente reportado el ataque del 23 de diciembre de 2022.
Clientes de descongelamiento pierden $12 millones
Según se informa, el pirata informático drenó $ 173,000 a través de un ataque de préstamo rápido nivelado en el protocolo V1 de Defrost. En un ataque V2 más significativo, un perpetrador robó USD 12 millones al liquidar las posiciones de los usuarios a través de un token colateral falso y un oráculo de precios malicioso. Atacantes más tarde supuestamente robó $ 1.4 millones del agregador de tecnología de cadena cruzada Rubic Finance, lo que genera preocupaciones sobre las vulnerabilidades en el código de contrato inteligente.
Las liquidaciones ocurren en DeFi cuando el valor de la garantía de un usuario cae por debajo de la relación préstamo-valor mínima de un protocolo de préstamo. Los protocolos de Stablecoin como Defrost permiten a los usuarios depositar garantías para un préstamo perpetuo de Stablecoin. El protocolo utiliza una tarifa de estabilidad ajustada algorítmicamente para establecer el interés del préstamo. La introducción de garantías falsas en V2 probablemente comprometió la relación préstamo-valor de los usuarios de Defrost, lo que llevó a su liquidación.
Las auditorías de CertiK revelan problemas de centralización
Ambos hacks han llamado la atención sobre las conclusiones que se pueden extraer de las auditorías de códigos de contratos inteligentes al evaluar la legitimidad de un proyecto DeFi. La empresa de seguridad Blockchain CertiK estuvo implicada en ambos ataques, y Defrost y Rubic se sometieron a auditorías de código por parte de la empresa.
CertiK auditado Descongele los contratos inteligentes de V1 en noviembre de 2021, enumerando un problema de lógica crítico y cinco problemas relacionados con la centralización. El primero se resolvió en el momento de la publicación, mientras que el segundo se reconoció sin evidencia de trabajo adicional. Un problema de lógica, coloquialmente conocido como “error”, permite que los contratos inteligentes funcionen incorrectamente sin bloquearse. Por otro lado, un problema de centralización puede causar el compromiso de varias entidades si un pirata informático obtiene acceso a un bloque o variable de código compartido.
CertiK también desenterrado varios problemas de centralización en el contrato inteligente SwapContract de Rubic Finance, uno de los cuales permitiría a un pirata informático retirar ETH/BNB y otros tokens a la dirección del pirata informático.
Las auditorías no reemplazan el sentido común
En lugar de respaldar un proyecto o sus activos, CertiK prueba la resistencia de los contratos inteligentes a varios vectores de ataque. También evalúa el cumplimiento de los contratos con estándares de codificación aceptables y compara los contratos inteligentes de un proyecto con los producidos por líderes de la industria.
Un examen cuidadoso del sitio web de CertiK revela que la empresa solo audita el código proporcionado por el protocolo DeFi. Aconseja a los inversores interesados que realicen su propia diligencia debida. Además, sus informes contienen el siguiente descargo de responsabilidad:
“La posición de CertiK es que cada empresa e individuo son responsables de su propia diligencia debida y seguridad continua. El objetivo de CertiK es ayudar a reducir los vectores de ataque y el alto nivel de variación asociado con la utilización de tecnologías nuevas y en constante cambio, y de ninguna manera reclama ninguna garantía de seguridad o funcionalidad de la tecnología que acordamos analizar”.
Si bien no es una imagen completa, estos informes pueden proporcionar información sobre los riesgos de un proyecto, lo que ayuda a informar a las partes interesadas sobre un proyecto. Cualquier cambio propuesto al código de contrato inteligente puede someterse al procedimiento de votación estándar de un protocolo sin intervención del gobierno.
Brian Armstrong, CEO de Coinbase defensores que los protocolos DeFi estén protegidos por la libertad de expresión en los Estados Unidos en lugar de estar regulados por las leyes que rigen las empresas de servicios financieros.
Para ser[In]El último análisis de Bitcoin (BTC) de Crypto, haga clic aquí.
Descargo de responsabilidad
BeInCrypto se ha comunicado con la empresa o la persona involucrada en la historia para obtener una declaración oficial sobre los desarrollos recientes, pero aún no ha recibido respuesta.
