El protocolo de comercio de apalancamiento descentralizado Defrost Finance, que recientemente reveló que su protocolo ha sido explotado por aproximadamente $ 12 millones a través de sus productos V1 y V2, emitió una actualización que indica que el atacante V1 ha devuelto los fondos explotados.
“Pronto comenzaremos a escanear los datos en la cadena para averiguar quién era dueño de qué antes del ataque para devolverlos a los propietarios legítimos. Como los diferentes usuarios tenían proporciones variables de activos y deudas, este proceso podría llevar un poco [de tiempo]”, declararon los desarrolladores de Defrost Finance a través de un comunicado. .
Según el equipo, el primer ataque involucró el uso de una secuencia de préstamo flash para drenar fondos de su producto V2. Se lanzó otro exploit utilizando la clave de propietario, obteniendo acceso al producto V1 de Defrost Finance.
En los protocolos de finanzas descentralizadas, las liquidaciones ocurren cuando el valor de la garantía de un usuario cae por debajo de la relación préstamo-valor mínima de un protocolo. Defrost permite a los usuarios depositar garantías para un préstamo, que el protocolo utiliza para calcular la tasa de interés de ese préstamo. La garantía falsa introducida en V2 probablemente comprometió la relación préstamo-valor de los usuarios, lo que llevó a su liquidación.
El protocolo está construido sobre la cadena de bloques Avalanche. Lo que es curioso es que las empresas de seguridad de blockchain como Peckshield han afirmado que el ataque fue más un trabajo interno y se ha considerado un tirón de alfombra.
CertiK, otra empresa de seguridad y auditoría de blockchain, confirmó que no ha podido establecer contacto con el equipo de Defrost Finance, lo que llevó a la empresa a publicar una advertencia en su cuenta de Twitter que indicaba que el hackeo de Defrost Finance era, en cambio, una estafa de salida. En el momento de escribir este artículo, la cuenta oficial de Twitter de Defrost Finance podría no recibir mensajes o ya está preconfigurada para no hacerlo.
En noviembre de 2021, CertiK auditó los contratos inteligentes de Defrost V1 y enumeró un problema de lógica crítico y cinco problemas relacionados con la centralización. Ambos problemas se resolvieron en el momento de la publicación; el primero fue reconocido sin evidencia de trabajo adicional, mientras que el segundo fue reconocido con evidencia de trabajo adicional.
El término "error" se refiere a un problema de lógica, que puede hacer que los contratos inteligentes funcionen incorrectamente sin bloquearse. Los problemas de lógica ocurren cuando los contratos inteligentes no funcionan según lo previsto, mientras que los problemas de centralización son el resultado de que un hacker obtenga acceso a variables o bloques de código compartidos.
Los informes iniciales sobre el exploit revelaron que se gastaron aproximadamente $ 173,000 a través del protocolo V1, mientras que otros $ 1.4 millones se tomaron a través de Rubic Finance, un agregador de cadena cruzada vinculado con Defrost Finance. Estos, junto con el atraco de $12 millones en su producto V2, han generado preocupaciones sobre la estabilidad y seguridad del protocolo en términos de su código de contrato inteligente, poniendo en duda el problema de la centralización en todo su ecosistema.
Fuente: https://cryptodaily.co.uk/2022/12/defrost-finance-hacked-claims-funds-have-been-recovered