Plataforma de comercio de apalancamiento descentralizado en Avalancha, Defrost finance informó que todos los fondos perdidos debido a un exploit en su plataforma el 23 de diciembre fueron devueltos el 26 de diciembre después de las reclamaciones de un posible tirón de alfombra.
Los fondos hackeados han sido devueltos a DefrostFinance
Los usuarios afectados podrán reclamar muy pronto la devolución de sus activos.
Detalles https://t.co/RpDqKAK44y
– Defrost Finance (@Defrost_Finance) 26 de diciembre de 2022
Defrost Finance afirmó que devolvería todos los fondos perdidos a los usuarios explotados tras escanear los datos de la cadena para determinar la propiedad y la cantidad de fondos de cada usuario afectado.
Anteriormente, el protocolo basado en Avalanche informó de que la plataforma había sido pirateada, y que un atacante había retirado fondos utilizando la función de préstamo flash.
El 24 de diciembre, la empresa afirmó que sólo se había visto afectado su producto V2, y que el V1 permanecía a salvo.
Defrost Finance se entristece al anunciar que nuestra V2 ha sufrido un hackeo, con un atacante utilizando una función de préstamo flash para retirar fondos.
La V1 no se ha visto afectada. Pronto cerraremos la interfaz de usuario de la V2 e investigaremos más a fondo con nuestro equipo técnico.
Las actualizaciones se publicarán en nuestros canales oficiales.
– Defrost Finance (@Defrost_Finance) December 24, 2022
Sin embargo, el 25 de diciembre, el equipo informó de que el hacker también obtuvo la clave de propietario para un ataque mayor al producto V1 de la plataforma.
El hacker ganó casi 173.000 dólares con el exploit, según la firma de análisis de blockchain PeckShield.
El @Defrost_Finance es explotado, llevando a la ganancia de ~$173k para el hacker. El hackeo es posible debido a la falta de bloqueo de reentrada para las funciones flashloan()/deposit(), que fue utilizada por el hacker para manipular el precio de las acciones de LSWUSDC. pic.twitter.com/SINHUZXC0D
– PeckShieldAlert (@PeckShieldAlert) 23 de diciembre de 2022
Tras un análisis más detallado, PeckShield reveló que se había añadido un token de garantía falso. Se utilizó un oráculo de precios malicioso para liquidar a los usuarios actuales por una pérdida total de más de 12 millones de dólares, lo que indica un posible tirón de la manta.
Además, la firma de seguridad blockchain Certik afirmó que el exploit era una estafa de salida después de que no pudieran obtener ninguna respuesta a sus consultas por parte del equipo de Defrost Finance.
El 24 de diciembre hemos visto un exitscam en @Defrost_Finance
Hemos intentado contactar con varios miembros del equipo pero no hemos obtenido respuesta.
El equipo no es KYC’d pero estamos utilizando toda la información que tenemos que ayudar con las autoridades pic.twitter.com/XC009dM40T
– CertiK Alert (@CertiKAlert) December 26, 2022
En la misma nota, DeFiYieldApp, una firma de seguridad Web3, tuiteó que advirtieron a la Comunidad DeFi hace un año sobre la vulnerabilidad del contrato inteligente Defrost Finance que permite a la firma robar a sus usuarios.
Aunque no hay indicios claros de que se trate de un robo, la empresa se ha mostrado dispuesta a negociar con los piratas informáticos la devolución de los fondos.
El 25 de diciembre, el valor total de los fondos bloqueados en el protocolo había descendido a menos de 93.000 dólares, frente a los 13,16 millones que había tras el ataque, según datos de DefiLlama.
