Децентрализована платформа за трговање полугом на Аваланцхе, Дефрост финанце пријавио да су сва средства изгубљена услед експлоатације на његовој платформи 23. децембра враћена 26. децембра након тврдњи о могућем повлачењу тепиха.
Хакована средства су враћена #ДефростФинанце.
Погођени корисници ће врло брзо моћи да траже назад своју имовину.
Детаљи 👇https://t.co/RpDqKAK44y
— Дефрост Финанце 🔺 (@Дефрост_Финанце) Декабрь 26, 2022
Дефрост Финанце је потврдио да ће вратити сва изгубљена средства експлоатисаним корисницима након скенирања података на ланцу како би се утврдило власништво и износ средстава у власништву сваког погођеног корисника.
Раније је протокол заснован на Аваланцхе-у известио да је платформа хакована, при чему је нападач повукао средства користећи функцију флеш зајма.
24. децембра, фирма је тврдила да је погођен само њихов В2 производ, а В1 је остао безбедан.
Дефрост Финанце са жалошћу објављује да је наш В2 претрпео хак, при чему је нападач користио функцију флеш зајма за повлачење средстава.
В1 није погођен. Ускоро ћемо затворити В2 кориснички интерфејс и даље истраживати са нашим техничким тимом.
Ажурирања ће бити објављена на нашим званичним каналима.
— Дефрост Финанце 🔺 (@Дефрост_Финанце) Декабрь 24, 2022
Међутим, 25. децембра тим је известио да је хакер такође добио власнички кључ за већи напад на В1 производ платформе.
Хакер је зарадио скоро 173 хиљаде долара од експлоатације, према аналитичкој компанији за блокчејн ПецкСхиелд.
@Дефрост_Финанце се експлоатише, што доводи до добитка од ~173 хиљада долара за хакера. Хак је омогућен због недостатка закључавања поновног уласка за функције фласхлоан()/депосит(), које је хакер користио да манипулише ценом акција ЛСВУСДЦ. пиц.твиттер.цом/СИНХУЗКСЦ0Д
— ПецкСхиелдАлерт (@ПецкСхиелдАлерт) Декабрь 23, 2022
Након даље анализе, ПецкСхиелд открила да је додат лажни колатерални токен. Злонамерно пророчанство о цени је коришћено за ликвидацију тренутних корисника за укупан губитак од више од 12 милиона долара, што указује на могуће повлачење тепиха.
Даље, фирма за сигурност блокчејн-а Цертик је тврдила да је експлоатација била излазна превара након што нису могли да добију никакав одговор на своје упите од Дефрост Финанце тима.
#ЦертиКСкинетАлерт ????
24. децембра видели смо #екитсцам on @Дефрост_Финанце
Покушали смо да контактирамо више чланова тима, али нисмо добили одговор.
Тим није КИЦ, али користимо све информације које имамо да помогнемо надлежнима пиц.твиттер.цом/КСЦ009дМ40Т
— ЦертиК Алерт (@ЦертиКАлерт) Декабрь 26, 2022
На истој напомени, ДеФиИиелдАпп, Веб3 безбедносна фирма, твеетед да су упозорили ДеФи заједницу пре годину дана на рањивост паметног уговора Дефрост Финанце која омогућава фирми да повуче своје кориснике.
Иако нема јасних индиција да ли је хакирање био повлачење тепиха, фирма је показала спремност да преговара са хакерима да врати средства.
Дана 25. децембра, укупна вредност средстава закључаних на протоколу пала је на мање од 93,000 долара са 13.16 милиона долара након напада, према ДефилЛлама подаци.
Извор: хттпс://цриптослате.цом/дефрост-финанце-саис-ит-хас-рецоверед-лост-фундс-вортх-12-миллион-фром-хацкер/