تدقيق CertiK قيد التدقيق بينما يسترد العميل 12 مليون دولار من الأموال المسروقة



تدقيق CertiK قيد التدقيق بينما يسترد العميل 12 مليون دولار من الأموال المسروقة

مشروع Green Stablecoin Defrost Finance لإعادة 12 مليون دولار من الأموال المسروقة حتى 23 ديسمبر 2022 ، على الرغم من خضوعه لتدقيق الكود بواسطة CertiK.

ستستخدم ميزة Defrost البيانات الموجودة على السلسلة لضمان التخصيص المناسب للأموال المسروقة. يأتي المردود بعد أن يستغل المهاجم عيوبًا في العديد من عقود Defrost الذكية. أبلغت شركة أمان Blockchain Peckshield في البداية عن الهجوم في 23 ديسمبر 2022.

عملاء إذابة الجليد يخسرون 12 مليون دولار

وبحسب ما ورد استنفد المخترق 173000 دولار من خلال هجوم قرض سريع على بروتوكول Defrost's V1. في هجوم V2 الأكثر أهمية ، سرق الجاني 12 مليون دولار عن طريق تصفية مواقع المستخدمين من خلال رمز ضمان مزيف وسعر خبيث أوراكل. زُعم أن المهاجمين لاحقًا سرقوا 1.4 مليون دولار من مجمع التكنولوجيا متعدد السلاسل Rubic Finance ، مما أثار مخاوف بشأن نقاط الضعف في كود العقد الذكي.

تحدث التصفية في DeFi عندما تنخفض قيمة ضمان المستخدم إلى أقل من الحد الأدنى لنسبة القرض إلى القيمة لبروتوكول الإقراض. تسمح بروتوكولات Stablecoin مثل Defrost للمستخدمين بإيداع ضمان للحصول على قرض دائم من العملات المستقرة. يستخدم البروتوكول رسوم استقرار معدلة حسابيًا لتعيين فائدة القرض. من المحتمل أن يكون إدخال الضمانات الزائفة على V2 قد أضر بنسب القرض إلى القيمة لمستخدمي Defrost ، مما أدى إلى تصفيتهم.

تكشف عمليات تدقيق CertiK عن مشكلات تتعلق بالمركزية

لفت كلا الاختراقين الانتباه إلى الاستنتاجات التي يمكن استخلاصها من عمليات تدقيق رمز العقد الذكي عند تقييم شرعية مشروع DeFi. تورطت شركة CertiK للأمن في بلوكتشين في كلا الهجومين ، حيث يخضع ديفروست وروبيك لفحص الكود من قبل الشركة.

قامت CertiK بتدقيق عقود Defrost V1 الذكية في نوفمبر 2021 ، حيث أدرجت مشكلة منطقية مهمة وخمسة مشكلات متعلقة بالمركزية. تم إصلاح الأول اعتبارًا من وقت نشر هذا التقرير ، بينما تم الاعتراف بالأخير بدون أي دليل على مزيد من العمل. خلل منطقي ، يشار إليه بالعامية باسم "خطأ" ، يسمح للعقود الذكية بالعمل بشكل غير صحيح دون تعطل. من ناحية أخرى ، يمكن أن تتسبب مشكلة المركزية في اختراق العديد من الكيانات إذا تمكن المهاجم من الوصول إلى كتلة أو متغير رمز مشترك.

اكتشف CertiK أيضًا العديد من مشكلات المركزية في عقد SwapContract الذكي الخاص بـ Rubic Finance ، أحدها سيسمح للمتسلل بسحب ETH / BNB والرموز الأخرى إلى عنوان المتسلل.

عمليات التدقيق ليست بديلاً عن الفطرة السليمة

بدلاً من الموافقة على مشروع أو أصوله ، تختبر CertiK مرونة العقود الذكية في مواجهة نواقل الهجوم المختلفة. كما يقيِّم العقود للامتثال لمعايير الترميز المقبولة ويقارن العقود الذكية للمشروع بتلك التي ينتجها قادة الصناعة.

تكشف نظرة فاحصة على موقع CertiK على الويب أن الشركة تتحقق فقط من الكود الذي يوفره بروتوكول DeFi. ينصح المستثمرين المهتمين بإجراء العناية الواجبة الخاصة بهم. بالإضافة إلى ذلك ، تحتوي تقاريره على إخلاء المسؤولية التالي:

"موقف CertiK هو أن كل شركة وكل فرد مسؤول عن العناية الواجبة الخاصة به وسلامته المستمرة. يتمثل هدف CertiK في المساعدة في تقليل نواقل الهجوم والمستوى العالي من التباين المرتبط باستخدام التقنيات الجديدة والمتطورة ، ولا نقدم أي تعهدات أو ضمانات فيما يتعلق بأمان أو وظائف التكنولوجيا التي نوافق على تحليلها ".

في حين أنها لا تقدم صورة كاملة ، يمكن أن توفر هذه التقارير نظرة ثاقبة لمخاطر المشروع ، مما يساعد على إعلام أصحاب المصلحة بشأن المشروع. يمكن تقديم أي تغييرات مقترحة على رمز العقد الذكي إلى عملية التصويت القياسية للبروتوكول دون تدخل الحكومة .

يجادل Brian Armstrong ، الرئيس التنفيذي لشركة Coinbase ، بأن بروتوكولات DeFi محمية بحرية التعبير في الولايات المتحدة بدلاً من أن تنظمها القوانين التي تحكم أعمال الخدمات المالية.

لتحليل Be [In] Crypto الأخير Bitcoin (BTC) ، انقر هنا .

ظهر منشور CertiK Audits تحت التدقيق مع استرداد العميل 12 مليون دولار من الأموال المسروقة لأول مرة على BeInCrypto .