Certik, 감사에도 불구하고 Crypto Exploit에서 12만 달러 회수

생태학적인 stablecoin 프로젝트 Defrost Finance는 CertiK의 코드 감사를 받았음에도 불구하고 12년 23월 2022일까지 훔친 자금 XNUMX만 달러를 악용하여 반환할 것입니다.

서리를 없애다 사용하게 될 도난 자금의 올바른 할당을 보장하기 위한 온체인 데이터. 환불은 공격자가 여러 Defrost 스마트 계약의 결함을 악용한 후에 이루어집니다. 블록체인 보안 처음에는 확고한 Peckshield 신고 23년 2022월 XNUMX일 공격.

제상 고객은 12만 달러 손실

해커는 Defrost의 V173,000 프로토콜 수준의 플래시 론 공격을 통해 1달러를 빼돌린 것으로 알려졌습니다. 더 중요한 V2 공격에서는 가해자가 가짜 담보 토큰과 악의적인 가격을 통해 사용자의 포지션을 청산하여 12만 달러를 훔쳤습니다. 신탁. 나중에 공격자 훔친 혐의 크로스체인 기술 집계업체인 Rubic Finance에서 1.4만 달러를 투자하여 스마트 계약 코드의 취약성에 대한 우려를 제기했습니다.

청산은 DeFi 사용자의 담보 가치가 대출 프로토콜의 최소 대출 가치 비율 아래로 떨어질 때. Defrost와 같은 스테이블코인 프로토콜을 사용하면 사용자가 영구 스테이블코인 대출을 위해 담보를 예치할 수 있습니다. 프로토콜은 알고리즘으로 조정된 안정성 수수료를 사용하여 대출 이자를 설정합니다. V2에 대한 가짜 담보의 도입은 Defrost 사용자의 대출 가치 비율을 손상시켜 청산으로 이어졌을 가능성이 있습니다.

CertiK 감사를 통해 중앙 집중화 문제가 드러남

모두 해킹 적법성을 평가할 때 스마트 계약 코드 감사에서 도출할 수 있는 결론에 주목했습니다. DeFi 프로젝트. 블록체인 보안 회사인 CertiK는 두 해킹 모두에 연루되었으며, Defrost와 Rubic은 회사의 코드 감사를 받았습니다. 

CertiK 감사 1년 2021월 Defrost VXNUMX의 스마트 계약, 중요한 논리 문제 및 중앙 집중화와 관련된 XNUMX가지 문제를 나열합니다. 전자는 보도 시간에 해결되었지만 후자는 추가 작업의 증거 없이 인정되었습니다. 구어체로 '버그'라고 하는 논리 문제로 인해 스마트 계약이 충돌 없이 잘못 작동할 수 있습니다. 한편, 중앙 집중화 문제 해커가 공유 코드 블록 또는 변수에 액세스할 경우 여러 엔터티가 손상될 수 있습니다.

CertiK도 발굴 된 Rubic Finance의 SwapContract 스마트 계약의 여러 중앙 집중화 문제 중 하나는 해커가 ETH/BNB 및 기타 토큰을 해커의 주소로 인출할 수 있도록 합니다.

감사는 상식을 대체하지 않습니다

CertiK는 프로젝트나 그 자산을 보증하는 대신 다양한 공격 벡터에 대한 스마트 계약의 탄력성을 테스트합니다. 또한 수용 가능한 코딩 표준에 대한 계약의 준수 여부를 평가하고 프로젝트의 스마트 계약을 업계 리더가 생성한 것과 비교합니다. 

CertiK의 웹사이트를 면밀히 조사한 결과 회사는 DeFi 프로토콜에서 제공하는 코드만 감사한다는 사실이 밝혀졌습니다. 관심있는 투자자들에게 자체 실사를 수행하도록 조언합니다. 또한 해당 보고서에는 다음과 같은 면책 조항이 포함되어 있습니다.

“CertiK의 입장은 각 회사와 개인이 자신의 실사 및 지속적인 보안에 대한 책임이 있다는 것입니다. CertiK의 목표는 새롭고 지속적으로 변화하는 기술을 활용하는 것과 관련된 높은 수준의 분산과 공격 벡터를 줄이는 데 도움을 주는 것이며, 우리가 분석하기로 동의한 기술의 보안 또는 기능을 보장하지 않습니다.”

완전한 그림은 아니지만 이러한 보고서는 프로젝트의 위험에 대한 통찰력을 제공하여 이해 당사자에게 프로젝트에 대해 알리는 데 도움이 됩니다. 스마트 계약 코드에 대해 제안된 모든 변경 사항은 프로토콜의 표준을 거칠 수 있습니다. 투표 순서 정부 개입 없이. 

코인베이스 CEO 브라이언 암스트롱 옹호 DeFi 프로토콜은 금융 서비스 사업에 적용되는 법률에 의해 규제되기보다는 미국에서 표현의 자유에 의해 보호됩니다.

Be[In]Crypto의 최신 비트코인 (BTC) 분석, 여기를 클릭하세요.