Plate-forme de négociation à effet de levier décentralisée sur Avalanche, Defrost finance a déclaré que tous les fonds perdus en raison d’un exploit sur sa plate-forme le 23 décembre ont été restitués le 26 décembre après les revendications d’un possible piratage.
Les fonds piratés ont été restitués à DefrostFinance
Les utilisateurs concernés pourront très bientôt réclamer le remboursement de leurs avoirs.
Détails https://t.co/RpDqKAK44y
– Defrost Finance (@Defrost_Finance) Le 26 décembre 2022
Defrost Finance a affirmé qu’elle rendrait tous les fonds perdus aux utilisateurs exploités après avoir analysé les données sur la chaîne pour déterminer la propriété et le montant des fonds détenus par chaque utilisateur affecté.
Plus tôt, le protocole basé à Avalanche a signalé que la plate-forme avait été piratée, un attaquant ayant retiré des fonds en utilisant la fonction de prêt flash.
Le 24 décembre, l’entreprise a affirmé que seul son produit V2 avait été affecté, et que le V1 était resté en sécurité.
Defrost Finance a le regret d’annoncer que notre V2 a été piraté, un attaquant ayant utilisé une fonction de prêt flash pour retirer des fonds.
La V1 n’est pas affectée. Nous allons bientôt fermer l’interface utilisateur de la V2 et enquêter davantage avec notre équipe technique.
Des mises à jour seront publiées sur nos canaux officiels.
– Defrost Finance (@Defrost_Finance) December 24, 2022
Cependant, le 25 décembre, l’équipe a signalé que le pirate avait également obtenu la clé propriétaire pour une attaque plus importante sur le produit V1 de la plate-forme.
Le pirate a gagné près de 173 000 dollars grâce à cet exploit, selon la société d’analyse de blockchain PeckShield.
Le @Defrost_Finance est exploité, entraînant un gain de ~173k$ pour le hacker. Le piratage est rendu possible par l’absence de verrou de réentrance pour les fonctions flashloan()/deposit(), qui a été utilisé par le pirate pour manipuler le prix de l’action de LSWUSDC. pic.twitter.com/SINHUZXC0D
– PeckShieldAlert (@PeckShieldAlert) December 23, 2022
Une analyse plus approfondie a révélé que PeckShield a ajouté un faux jeton de garantie. Un oracle de prix malveillant a été utilisé pour liquider les utilisateurs actuels pour une perte totale de plus de 12 millions de dollars, ce qui indique un possible arrachage de tapis.
De plus, l’entreprise de sécurité blockchain Certik a affirmé que l’exploit était une arnaque de sortie après n’avoir pu obtenir aucune réponse à ses questions de la part de l’équipe de Defrost Finance.
Le 24 décembre, nous avons vu un exitscam sur @Defrost_Finance
Nous avons tenté de contacter plusieurs membres de l’équipe mais nous n’avons pas eu de réponse.
L’équipe n’a pas été identifiée mais nous utilisons toutes les informations que nous avons pour aider les autorités pic.twitter.com/XC009dM40T
– CertiK Alert (@CertiKAlert) December 26, 2022
Dans le même ordre d’idées, DeFiYieldApp, une société de sécurité Web3, a tweeté qu’elle avait averti la communauté DeFi il y a un an de la vulnérabilité du contrat intelligent Defrost Finance qui permet à la société d’escroquer ses utilisateurs.
Bien qu’il n’y ait pas d’indications claires quant à la nature du piratage, la société s’est montrée disposée à négocier avec les pirates pour restituer les fonds.
Le 25 décembre, la valeur totale des fonds bloqués sur le protocole était passée de 13,16 millions de dollars après l’attaque à moins de 93 000 dollars, selon les données de DefiLlama.