Le projet de stablecoin écologique Defrost Finance restituera 12 millions de dollars en fonds volés jusqu’au 23 décembre 2022, exploit, malgré un audit de code par CertiK.
Defrost utilisera les données en chaîne pour garantir la bonne allocation des fonds volés. Le remboursement intervient après qu’un attaquant a exploité des failles dans plusieurs contrats intelligents Defrost. La société de sécurité Blockchain Peckshield initialement signalé l’attentat du 23 décembre 2022.
Les clients de Defrost perdent 12 millions de dollars
Le pirate informatique aurait drainé 173 000 $ grâce à une attaque de prêt flash au niveau du protocole V1 de Defrost. Dans une attaque V2 plus importante, un auteur a volé 12 millions de dollars en liquidant les positions des utilisateurs via un faux jeton de garantie et un oracle de prix malveillant. Les attaquants auraient par la suite volé 1,4 million de dollars à l’agrégateur technologique inter-chaînes Rubic Finance, soulevant des inquiétudes quant aux vulnérabilités du code de contrat intelligent.
Les liquidations se produisent dans DeFi lorsque la valeur de la garantie d’un utilisateur tombe en dessous du ratio prêt/valeur minimum d’un protocole de prêt. Les protocoles Stablecoin comme Defrost permettent aux utilisateurs de déposer des garanties pour un prêt perpétuel en stablecoin. Le protocole utilise des frais de stabilité ajustés par algorithme pour fixer l’intérêt du prêt. L’introduction de fausses garanties dans V2 a probablement compromis les ratios prêt/valeur des utilisateurs de Defrost, entraînant leur liquidation.
Les audits CertiK révèlent des problèmes de centralisation
Les deux hacks ont attiré l’attention sur les conclusions qui peuvent être tirées des audits du code des contrats intelligents lors de l’évaluation de la légitimité d’un projet DeFi. La société de sécurité Blockchain CertiK a été impliquée dans les deux piratages, Defrost et Rubic ayant subi des audits de code par la société.
CertiK a audité les contrats intelligents de Defrost V1 en novembre 2021, répertoriant un problème de logique critique et cinq problèmes liés à la centralisation. Le premier avait été résolu au moment de mettre sous presse, tandis que le second a été reconnu sans preuve de travaux supplémentaires. Un problème de logique, familièrement appelé « bogue », permet aux contrats intelligents de fonctionner de manière incorrecte sans se bloquer. D’autre part, un problème de centralisation peut entraîner la compromission de plusieurs entités si un pirate parvient à accéder à un bloc de code partagé ou à une variable.
CertiK a également mis au jour plusieurs problèmes de centralisation dans le contrat intelligent SwapContract de Rubic Finance, dont l’un permettrait à un pirate de retirer des ETH/BNB et d’autres jetons à l’adresse du pirate.
Les audits ne remplacent pas le bon sens
Plutôt que d’approuver un projet ou ses actifs, CertiK teste la résilience des contrats intelligents à divers vecteurs d’attaque. Il évalue également la conformité des contrats aux normes de codage acceptables et compare les contrats intelligents d’un projet à ceux produits par les leaders de l’industrie.
Un examen attentif du site Web de CertiK révèle que la société audite uniquement le code fourni par le protocole DeFi. Il conseille aux investisseurs intéressés d’effectuer leur propre diligence raisonnable. De plus, ses rapports contiennent la clause de non-responsabilité suivante :
« La position de CertiK est que chaque entreprise et chaque individu est responsable de sa propre diligence raisonnable et de sa sécurité continue. L’objectif de CertiK est d’aider à réduire les vecteurs d’attaque et le niveau élevé de variance associés à l’utilisation de technologies nouvelles et en constante évolution, et ne revendique en aucun cas une quelconque garantie de sécurité ou de fonctionnalité de la technologie que nous acceptons d’analyser.
Bien qu’ils ne donnent pas une image complète, ces rapports peuvent donner un aperçu des risques d’un projet, aidant à informer les parties intéressées sur un projet. Toute modification proposée au code des contrats intelligents peut être soumise à la procédure de vote standard d’un protocole sans intervention du gouvernement.
Le PDG de Coinbase, Brian Armstrong, préconise que les protocoles DeFi soient protégés par la liberté d’expression aux États-Unis plutôt que d’être réglementés par les lois régissant les entreprises de services financiers.
Pour être[In]La dernière analyse Bitcoin (BTC) de Crypto, cliquez ici.
Clause de non-responsabilité
BeInCrypto a contacté une entreprise ou une personne impliquée dans l’histoire pour obtenir une déclaration officielle sur les développements récents, mais elle n’a pas encore reçu de réponse.
Source https://beincrypto.com/certik-audits-under-scrutiny-as-client-recovers-12-million-in-stolen-funds/