ekologikoa stablecoin Defrost Finance proiektuak 12 milioi dolar itzuliko ditu 23ko abenduaren 2022ra arte lapurtutako funtsetan, ustiapena, CertiK-k kode-ikuskapena egin duen arren.
defrost erabiliko du kateko datuak lapurtutako funtsen esleipen zuzena ziurtatzeko. Itzulketa erasotzaile batek Defrost kontratu adimendun anitzetan akatsak baliatu ostean dator. Blockchain segurtasun Peckshield irmoa hasieran jakinarazi 23ko abenduaren 2022ko erasoa.
Desizozketaren bezeroek 12 milioi dolar galtzen dituzte
Hackerrak 173,000 $ xukatu omen zituen Defrost-en V1 protokoloan ezarritako flash mailegu-eraso baten bidez. V2 eraso esanguratsuago batean, egile batek 12 milioi dolar lapurtu zituen erabiltzaileen posizioak likidatuz, berme faltsu baten bidez eta prezio maltzur baten bidez. oracle. Erasotzaileak gero lapurtu omen zuen 1.4 milioi dolar Rubic Finance kate gurutzatuko teknologia-agregatzailetik, kontratu adimendunen kodearen ahultasunei buruzko kezkak sortuz.
urtean gertatzen dira likidazioak defi erabiltzailearen bermeen balioa mailegu-protokolo baten gutxieneko mailegu-balioaren ratioaren azpitik jaisten denean. Defrost bezalako Stablecoin protokoloek erabiltzaileek betiko stablecoin mailegu baterako bermeak uzteko aukera ematen diete. Protokoloak algoritmikoki doitutako egonkortasun-kuota erabiltzen du maileguaren interesa ezartzeko. V2-n berme faltsuak sartzeak Defrost-eko erabiltzaileen maileguen balioaren ratioak arriskuan jarri zituen, haien likidazioak eraginez.
CertiK Auditoretek zentralizazio arazoak agerian uzten dituzte
Bi hack kontratu adimendunen kodearen auditoretzatik atera daitezkeen ondorioei arreta jarri diete, baten zilegitasuna ebaluatzean. defi proiektua. CertiK Blockchain segurtasun-enpresa bi hacketan inplikatuta egon zen, Defrost eta Rubic enpresak kode-ikuskapenak egin baitzituzten.
CertiK ikuskatu Desfrost V1-en kontratu adimendunak 2021eko azaroan, logika arazo kritiko bat eta zentralizazioarekin lotutako bost arazo zerrendatuz. Lehenengoa prentsaren garaian ebatzi zuten, bigarrena, berriz, lan gehiagoren frogarik gabe. Logika-arazo batek, modu arruntean "akats" gisa aipatzen dena, kontratu adimendunak gaizki funtzionatzea ahalbidetzen du huts egin gabe. Bestalde, a zentralizazio arazoa hainbat entitateren arriskua eragin dezake hacker batek partekatutako kode bloke edo aldagai baterako sarbidea lortzen badu.
CertiK ere izanak Rubic Finance-ren SwapContract kontratu adimendunean zentralizazio-arazo batzuk, horietako batek hacker batek ETH/BNB eta beste token batzuk hackerren helbidera ateratzeko aukera emango luke.
Ikuskapenek ez dute zentzu komuna ordezkatzen
Proiektu bat edo bere aktiboak onartu beharrean, CertiK-k kontratu adimendunen erresistentzia probatzen du hainbat eraso-bektoreren aurrean. Halaber, kontratuek kodeketa estandar onargarriak betetzen dituzten ebaluatzen du eta proiektu baten kontratu adimentsuak industriako liderrak ekoitzitakoekin alderatzen ditu.
CertiK-ren webgunea arretaz aztertzeak agerian uzten du konpainiak DeFi protokoloak emandako kodea soilik ikuskatzen duela. Interesa duten inbertitzaileei beren diligentzia propioa egiteko gomendatzen die. Horrez gain, bere txostenek honako erantzukizun-oharra jasotzen dute:
“CertiK-en jarrera da enpresa eta norbanako bakoitza bere behar den arduraz eta etengabeko segurtasunaz arduratzen dela. CertiK-en helburua da eraso-bektoreak eta teknologia berriak eta etengabe aldatzen ari diren erabiltzearekin lotutako aldakuntza maila altua murrizten laguntzea, eta ez du inolaz ere aztertzea onartzen dugun teknologiaren segurtasun edo funtzionaltasun bermerik aldarrikatzen".
Irudi osoa ez bada ere, txosten hauek proiektu baten arriskuen berri eman dezakete, interesdunei proiektu baten berri ematen lagunduz. Kontratu adimendunaren kodean proposatutako edozein aldaketa protokoloaren estandarra jasan dezakete boto prozedurak gobernuaren esku-hartzerik gabe.
Coinbaseko zuzendari nagusi Brian Armstrong defendatzaileak DeFi protokoloak AEBetan adierazpen askearen bidez babestu beharrean, finantza-zerbitzuen negozioak arautzen dituzten legeek arautu beharrean.
Be[In]Crypto-ren azken berrietarako Bitcoin (BTC) analisia, klikatu hemen.
Lege-oharra
BeInCrypto-k istorioan parte hartzen duen enpresa edo norbanakoarekin harremanetan jarri da azken garapenei buruzko adierazpen ofizial bat lortzeko, baina oraindik ez du erantzunik jaso.
Iturria: https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/