Khiem Tran Defrost Finance sẽ hoàn trả số tiền 12 triệu USD số tiền bị hack cho khách hàng. Số tiền này đã được phục hồi thành công thông qua các nỗ lực mà dự án thương thảo với Hacker.
The hacked funds have been returned to #DefrostFinance.
The affected users will very soon be able to claim their assets back.
Details ?https://t.co/RpDqKAK44y
— Defrost Finance ? (@Defrost_Finance) December 26, 2022
Defrost cũng khẳng định sẽ sử dụng dữ liệu on-chain để đảm bảo phân bổ chính xác số tiền bị đánh cắp.
Khoản bồi thường này được đưa ra sau khi một hacker đã khai thác thành công lỗ hổng trong hàng loạt hợp đồng thông minh của Defrost. Công ty bảo mật Blockchain Peckshield là đơn vị đã báo cáo về vấn đề này đầu tiên vào ngày 23/12/2022.
The @Defrost_Finance is exploited, leading to the gain of ~$173k for the hacker. The hack is made possible due to the lack of reentrancy lock for the flashloan()/deposit() functions, which was used by the hacker to manipulate the share price of LSWUSDC. pic.twitter.com/SINHUZXC0D
— PeckShieldAlert (@PeckShieldAlert) December 23, 2022
Điểm đáng nói là các động thái xoay quanh vụ hack này mang rõ dấu hiệu của một dự án đang chuẩn bị rug pull cộng đồng, trong khi Defrost đang được đứng ra audit bở công ty kiểm toán CertiK.
Chi tiết về vụ Hack Defrost Finance
Defrost Finance, một nền tảng giao dịch đòn bẩy trên Avalanche, đã thông báo rằng cả hai phiên bản của giao thức Defrost v1 và Defrost v2 sẽ tạm thời ngừng hoạt động do liên quan đến một cuộc tấn công. Thông báo được đưa ra sau khi các nhà đầu tư báo cáo bị mất token dự án MELT và AVAX đã được stake thông qua ví Metamask.
Cụ thể, trong một tuyên bố ngày 23/12/2022, Defrost Finance đã xác nhận rằng Defrost v2 đã bị tấn công flash loan. Đồng thời, quyết định tạm dừng hoạt động trên Defrost v2 để điều tra thêm.
Defrost Finance is sad to announce that our V2 has suffered a hack, with an attacker using a flash loan function to withdraw funds.
The V1 is not affected. We will soon close the V2 UI and investigate further with our tech team.
Updates will be posted on our official channels.
— Defrost Finance ? (@Defrost_Finance) December 24, 2022
Defrost Finance bị khai thác lần đầu vào ngày 23/12 với thiệt hại 170 nghìn USD và một lần nữa vào ngày 25/12 với hơn 12 triệu USD.
Defrost Finance và nghi vấn Rug Pull
Thông qua phân tích on-chain, Peckshield cho biết vụ việc này khả năng cao là một pha rug pull từ dự án khi mà token thế chấp giả đã được thêm vào bộ sản phẩm của Defrost Finance và dữ liệu định giá giả đã được sử dụng để thanh lý người dùng dự án, với mức thiệt hại ước tính hơn 12 triệu đô la.
We received community intel warning the rugpull of @Defrost_Finance. Our analysis shows a fake collateral token is added and a malicious price oracle is used to liquidate current users. The loss is estimated to be >$12M. https://t.co/70iu38OYh7 pic.twitter.com/rSKklgV71I
— PeckShield Inc. (@peckshield) December 24, 2022
Rug pull là một thuật ngữ được sử dụng để mô tả cách các nhà phát triển từ bỏ dự án của họ bằng cách rút cạn tiền từ các nhà đầu tư đã mua token của dự án và đổ lỗi cho tin tặc để che đậy tội ác của họ.
Chính điều này đã làm dấy lên những nghi hoặc đối với công tác audit trong giới DeFi khi mà Defrost Finance đã được kiểm toán bởi CertiK vào tháng 11 năm 2021.
Đáng chú ý hơn nữa, không lâu sau khi Defrost Finance bị hack thì Rubic, một cross-chain aggregator cũng đã bị khai thác hơn 1.5 triệu USD giá ETH. Số ETH sau đó đã được kẻ tấn côn gửi đến Tornado Cash. Quan trọng là Rubit cũng được kiểm toán bởi chính CertiK.
CertiK Audit có đang “ló ngơ” vấn đề về tính tập trung?
Cả hai vụ hack đều thu hút sự chú ý đến các kết luận có thể rút ra từ quá trình audit code hợp đồng thông minh khi đánh giá tính hợp pháp của một dự án DeFi.
Công ty bảo mật chuỗi khối CertiK có liên quan đến cả hai vụ hack, với Defrost và Rubic đã trải qua quá trình audit code của công ty.
CertiK đã kiểm tra các hợp đồng thông minh của Defrost V1 vào tháng 11 năm 2021, liệt kê một vấn đề logic quan trọng và năm vấn đề liên quan đến việc tập trung hóa.
Vấn đề logic đã sớm được giải quyết, trong khi các vấn đề liên quan đến tính tập trung được thừa nhận mà không có bất kỳ giải pháp tiếp theo xoay quan vấn đề đó.
Một vấn đề logic, thường được gọi là ‘lỗi’, cho phép các hợp đồng thông minh hoạt động không chính xác mà không gặp sự cố. Mặt khác, vấn đề tập trung hóa có thể gây ra sự xâm phạm của một số thực thể nếu tin tặc giành được quyền truy cập vào một khối mã hoặc biến được chia sẻ.
CertiK cũng đã phát hiện ra một số vấn đề về tập trung hóa trong hợp đồng thông minh SwapContract của Rubic Finance, một trong số đó sẽ cho phép tin tặc rút ETH/BNB và các mã thông báo khác về địa chỉ của tin tặc.
Anh em tham gia các kênh thông tin của chúng mình để thảo luận và bắt kịp những diễn biến mới nhất của thị trường nhé:
? HC Capital Channel | HC Capital Group Chat
? HC Research Channel | HC Research Group Chat
? Margin HC Channel | Margin HC Group Chat
? HC Gem Alerts | HC Gem Alerts Chat