प्रमाणन ऑडिट के बावजूद क्रिप्टो एक्सप्लॉइट से बरामद $ 12M देखता है

पारिस्थितिक stablecoin प्रोजेक्ट डीफ़्रॉस्ट फ़ाइनेंस 12 दिसंबर, 23 तक चुराए गए धन में से $2022 मिलियन लौटाएगा, CertiK द्वारा कोड ऑडिट किए जाने के बावजूद इसका फायदा उठाया जाएगा।

Defrost उपयोग होगा चोरी हुए धन के सही आवंटन को सुनिश्चित करने के लिए ऑन-चेन डेटा। रिफंड एक हमलावर द्वारा कई डिफ्रॉस्ट स्मार्ट कॉन्ट्रैक्ट्स में खामियों का फायदा उठाने के बाद आता है। ब्लॉकचेन सुरक्षा फर्म पेकशील्ड शुरू में की रिपोर्ट 23 दिसंबर, 2022 को हमला।

डीफ़्रॉस्ट करने वाले ग्राहकों को $12 मिलियन का नुकसान हुआ

हैकर ने कथित तौर पर डिफ्रॉस्ट के वी173,000 प्रोटोकॉल पर आधारित एक त्वरित ऋण हमले के माध्यम से $1 निकाल लिए। एक अधिक महत्वपूर्ण V2 हमले में, एक अपराधी ने नकली संपार्श्विक टोकन और एक दुर्भावनापूर्ण मूल्य के माध्यम से उपयोगकर्ताओं की स्थिति को समाप्त करके $12 मिलियन चुरा लिए पेशीनगोई. हमलावर बाद में कथित तौर पर चुरा लिया क्रॉस-चेन टेक एग्रीगेटर रूबिक फाइनेंस से $ 1.4 मिलियन, स्मार्ट कॉन्ट्रैक्ट कोड में कमजोरियों के बारे में चिंता जताते हुए।

परिसमापन होता है Defi जब उपयोगकर्ता के संपार्श्विक का मूल्य उधार प्रोटोकॉल के न्यूनतम ऋण-से-मूल्य अनुपात से नीचे आता है। डिफ्रॉस्ट जैसे स्थिर मुद्रा प्रोटोकॉल उपयोगकर्ताओं को स्थायी स्थिर मुद्रा ऋण के लिए संपार्श्विक जमा करने की अनुमति देते हैं। ऋण के ब्याज को निर्धारित करने के लिए प्रोटोकॉल एल्गोरिथम-समायोजित स्थिरता शुल्क का उपयोग करता है। V2 के लिए नकली संपार्श्विक की शुरूआत ने संभावित रूप से डीफ़्रॉस्ट उपयोगकर्ताओं के ऋण-से-मूल्य अनुपात से समझौता किया, जिससे उनका परिसमापन हुआ।

CertiK ऑडिट केंद्रीकरण के मुद्दों को प्रकट करते हैं

दोनों हैक्स की वैधता का आकलन करते समय स्मार्ट कॉन्ट्रैक्ट कोड ऑडिट से निकाले जा सकने वाले निष्कर्षों की ओर ध्यान आकर्षित किया है Defi परियोजना। ब्लॉकचैन सिक्योरिटी फर्म CertiK को दोनों हैक में फंसाया गया था, जिसमें कंपनी द्वारा डिफ्रॉस्ट और रूबिक का कोड ऑडिट किया गया था। 

सर्टिफिकेट अंकेक्षित नवंबर 1 में V2021 के स्मार्ट कॉन्ट्रैक्ट्स को डिफ्रॉस्ट करें, एक महत्वपूर्ण लॉजिक इश्यू और केंद्रीकरण से संबंधित पांच मुद्दों को सूचीबद्ध करें। पूर्व को प्रेस समय में सुलझा लिया गया था, जबकि बाद वाले को आगे के काम के सबूत के बिना स्वीकार किया गया था। एक तार्किक समस्या, जिसे आम बोलचाल की भाषा में 'बग' कहा जाता है, स्मार्ट अनुबंधों को दुर्घटनाग्रस्त हुए बिना गलत तरीके से संचालित करने की अनुमति देता है। दूसरी ओर, ए केंद्रीकरण मुद्दा यदि कोई हैकर किसी साझा कोड ब्लॉक या चर तक पहुंच प्राप्त करता है, तो कई संस्थाओं के साथ समझौता हो सकता है।

सर्टिफिकेट भी पता लगाया रूबिक फाइनेंस के स्वैपकॉन्ट्रैक्ट स्मार्ट अनुबंध में कई केंद्रीकरण मुद्दे, जिनमें से एक हैकर को ईटीएच/बीएनबी और अन्य टोकन को हैकर के पते पर वापस लेने में सक्षम करेगा।

ऑडिट कॉमन सेंस की जगह नहीं लेते हैं

किसी प्रोजेक्ट या उसकी संपत्ति का समर्थन करने के बजाय, CertiK विभिन्न अटैक वैक्टर के लिए स्मार्ट कॉन्ट्रैक्ट्स के लचीलेपन का परीक्षण करता है। यह स्वीकार्य कोडिंग मानकों के साथ अनुबंधों के अनुपालन का भी आकलन करता है और एक परियोजना के स्मार्ट अनुबंधों की उद्योग के नेताओं द्वारा उत्पादित स्मार्ट अनुबंधों से तुलना करता है। 

CertiK की वेबसाइट की सावधानीपूर्वक जाँच से पता चलता है कि कंपनी केवल DeFi प्रोटोकॉल द्वारा प्रदान किए गए कोड का ऑडिट करती है। यह इच्छुक निवेशकों को सलाह देता है कि वे अपने स्वयं के परिश्रम का संचालन करें। इसके अतिरिक्त, इसकी रिपोर्ट में निम्नलिखित अस्वीकरण शामिल हैं:

“CertiK की स्थिति यह है कि प्रत्येक कंपनी और व्यक्ति अपने स्वयं के परिश्रम और निरंतर सुरक्षा के लिए जिम्मेदार हैं। CertiK का लक्ष्य अटैक वैक्टर और नई और लगातार बदलती तकनीकों के उपयोग से जुड़े उच्च स्तर के विचरण को कम करने में मदद करना है, और किसी भी तरह से उस तकनीक की सुरक्षा या कार्यक्षमता की गारंटी का दावा नहीं करता है जिसका हम विश्लेषण करने के लिए सहमत हैं।

जबकि पूरी तस्वीर नहीं है, ये रिपोर्ट परियोजना के जोखिमों में अंतर्दृष्टि प्रदान कर सकती हैं, इच्छुक पार्टियों को परियोजना के बारे में सूचित करने में मदद कर सकती हैं। स्मार्ट कॉन्ट्रैक्ट कोड में कोई भी प्रस्तावित परिवर्तन प्रोटोकॉल के मानक से गुजर सकता है मतदान प्रक्रिया सरकारी हस्तक्षेप के बिना. 

कॉइनबेस के सीईओ ब्रायन आर्मस्ट्रांग अधिवक्ताओं कि DeFi प्रोटोकॉल को वित्तीय सेवाओं के व्यवसायों को नियंत्रित करने वाले कानूनों द्वारा विनियमित किए जाने के बजाय संयुक्त राज्य अमेरिका में मुक्त भाषण द्वारा संरक्षित किया जाना चाहिए।

Be[In]Crypto के नवीनतम के लिए Bitcoin (बीटीसी) विश्लेषण, यहां क्लिक करे.