Ekologiczny projekt stablecoinowy Defrost Finance zwróci 12 milionów dolarów środków skradzionych poprzez exploit z 23 grudnia 2022 roku, pomimo przejścia audytu kodu przez CertiK.
Defrost wykorzysta dane on-chain, aby zapewnić prawidłową alokację skradzionych środków. Zwrot pieniędzy następuje po tym, jak atakujący wykorzystał luki w wielu inteligentnych kontraktach Defrost. Firma Peckshield zajmująca się bezpieczeństwem blockchain początkowo poinformowała o ataku 23 grudnia 2022 roku.
Klienci Defrost stracili 12 mln USD
Haker podobno wydrenował 173 000 dolarów poprzez atak “flash loan” na protokół V1 Defrosta. W bardziej znaczącym ataku V2, sprawca ukradł 12 milionów dolarów. Zrobił to poprzez likwidację pozycji użytkowników za pomocą fałszywego tokena zabezpieczenia i złośliwej wyroczni cenowej. Atakujący później rzekomo ukradli 1,4 mln dolarów z agregatora technologii cross-chain Rubic Finance. Wywołując obawy o luki w kodzie inteligentnych kontraktów.
Likwidacje występują w DeFi, gdy wartość zabezpieczenia użytkownika spada poniżej minimalnego stosunku wartości pożyczki do wartości protokołu kredytowego. Protokoły stablecoin takie jak Defrost pozwalają użytkownikom na zdeponowanie zabezpieczenia dla wieczystej pożyczki stablecoin. Protokół wykorzystuje algorytmicznie dostosowaną opłatę stabilizacyjną, aby ustalić oprocentowanie pożyczki. Wprowadzenie fałszywych zabezpieczeń do V2 prawdopodobnie pogorszyło wskaźniki LTV użytkowników Defrost, co doprowadziło do ich likwidacji.
Audyty CertiK ujawniają problemy z centralizacją
Oba hacki zwróciły uwagę na wnioski, jakie można wyciągnąć z audytów kodu inteligentnych kontraktów przy ocenie legalności projektu DeFi. Firma CertiK zajmująca się bezpieczeństwem blockchain była zamieszana w oba włamania, a Defrost i Rubic zostały poddane audytowi kodu przez tę firmę.
CertiK przeprowadził audyt inteligentnych kontraktów Defrost V1 w listopadzie 2021 roku. Wymieniając krytyczny problem logiczny i pięć problemów związanych z centralizacją. Pierwszy z nich został rozwiązany w momencie publikacji, natomiast drugi został potwierdzony bez informacji o dalszych pracach. Problem logiczny, potocznie nazywany “bugiem”, pozwala inteligentnym kontraktom działać niepoprawnie bez awarii. Z drugiej strony, problem z centralizacją może spowodować kompromitację kilku podmiotów, jeśli haker uzyska dostęp do wspólnego bloku kodu lub zmiennej.
CertiK odkrył również kilka błędów centralizacji w inteligentnym kontrakcie SwapContract firmy Rubic Finance. Z których jeden umożliwiałby hakerowi wycofanie ETH/BNB i innych tokenów na adres hakera.
Audyty nie zastąpią zdrowego rozsądku
Zamiast zatwierdzać projekt lub jego aktywa, CertiK testuje odporność inteligentnych kontraktów na różne wektory ataku. Ocenia również zgodność kontraktów z akceptowalnymi standardami kodowania i porównuje inteligentne kontrakty projektu z tymi, które zostały wyprodukowane przez liderów branży.
Dokładna analiza strony internetowej CertiK-u ujawnia, że firma zajmuje się wyłącznie audytem kodu dostarczanego przez protokół DeFi. Zaleca ona zainteresowanym inwestorom przeprowadzenie własnego badania due diligence. Dodatkowo, jej raporty zawierają następujące zastrzeżenie:
“Stanowisko CertiK jest takie, że każda firma i osoba fizyczna są odpowiedzialne za własną należytą staranność i ciągłe bezpieczeństwo. Celem CertiK jest pomoc w ograniczeniu wektorów ataków i wysokiego poziomu wariancji związanego z wykorzystaniem nowych i konsekwentnie zmieniających się technologii i w żaden sposób nie rości sobie prawa do gwarancji bezpieczeństwa lub funkcjonalności technologii, którą zgadzamy się analizować.”
Choć nie jest to pełny obraz, raporty te mogą zapewnić wgląd w ryzyko projektu, pomagając poinformować zainteresowane strony o projekcie. Wszelkie proponowane zmiany w kodzie inteligentnego kontraktu mogą przejść standardową procedurę głosowania w protokole bez interwencji rządu.
CEO Coinbase (NASDAQ:COIN) Brian Armstrong opowiada się za tym, aby protokoły DeFi były w Stanach Zjednoczonych chronione wolnością słowa, a nie były regulowane przez przepisy regulujące działalność w zakresie usług finansowych.
BeInCrypto Polska - Audyty CertiK pod lupą. Klient odzyskuje 12 mln USD skradzionych środków