Decentralna platforma handlu dźwignią na Avalanche, Defrost finance poinformowała, że wszystkie środki utracone z powodu exploita na jej platformie 23 grudnia zostały zwrócone 26 grudnia po twierdzeniach o możliwym wyciągnięciu dywanu.
Zhakowane fundusze zostały zwrócone do DefrostFinance
Poszkodowani użytkownicy bardzo szybko będą mogli ubiegać się o zwrot swoich aktywów.
Szczegóły https://t.co/RpDqKAK44y
– Defrost Finance (@Defrost_Finance) 26 grudnia 2022
Defrost Finance potwierdził, że zwróci wszystkie utracone fundusze wykorzystanym użytkownikom po przeskanowaniu danych on-chain w celu określenia własności i ilości środków posiadanych przez każdego dotkniętego użytkownika.
Wcześniej protokół oparty na Avalanche poinformował, że platforma została zhakowana, a napastnik wycofał fundusze za pomocą funkcji flash loan.
W dniu 24 grudnia firma twierdziła, że tylko ich produkt V2 został dotknięty, a V1 pozostał bezpieczny.
Defrost Finance z przykrością informuje, że nasz V2 został dotknięty włamaniem, w którym napastnik użył funkcji flash loan do wypłaty środków.
V1 nie został dotknięty. Wkrótce zamkniemy V2 UI i będziemy badać dalej z naszym zespołem technicznym.
Aktualizacje będą publikowane na naszych oficjalnych kanałach.
– Defrost Finance (@Defrost_Finance) December 24, 2022
Jednakże 25 grudnia zespół poinformował, że haker uzyskał również klucz właściciela do większego ataku na produkt V1 platformy.
Haker zarobił na tym exploicie prawie $173k, według firmy analitycznej blockchain PeckShield.
Wykorzystanie @Defrost_Finance prowadzi do zysku ~$173k dla hakera. Hack jest możliwy dzięki braku reentrancy lock dla funkcji flashloan()/deposit(), co zostało wykorzystane przez hakera do manipulacji kursem akcji LSWUSDC. pic.twitter.com/SINHUZXC0D
– PeckShieldAlert (@PeckShieldAlert) 23 grudnia 2022
UVXW
Po dalszej analizie PeckShield ujawnił, że dodano fałszywy token zabezpieczenia. Złośliwa wyrocznia cenowa została wykorzystana do likwidacji obecnych użytkowników na łączną stratę ponad 12 milionów dolarów, co wskazuje na możliwość wyciągnięcia dywanu.
Ponadto firma Certik zajmująca się bezpieczeństwem blockchain twierdziła, że exploit był oszustwem wyjazdowym po tym, jak nie mogli uzyskać żadnej odpowiedzi na swoje zapytania od zespołu Defrost Finance.
24 grudnia widzieliśmy exitscam na @Defrost_Finance
Próbowaliśmy skontaktować się z wieloma członkami zespołu, ale nie otrzymaliśmy żadnej odpowiedzi.
The team are not KYC’d but we are using all the information that we do have to assist with authorities pic.twitter.com/XC009dM40T
– CertiK Alert (@CertiKAlert) December 26, 2022
UVXW
W tej samej notatce DeFiYieldApp, firma zajmująca się bezpieczeństwem Web3, zatweetowała, że ostrzegła społeczność DeFi rok temu o luce w inteligentnym kontrakcie Defrost Finance, która pozwala firmie na rugowanie użytkowników.
Mimo że nie ma jasnych przesłanek, czy hack był rug pull, firma wykazała chęć negocjacji z hakerami w celu zwrotu środków.
25 grudnia łączna wartość środków zablokowanych na protokole spadła do mniej niż 93 tys. dolarów z 13,16 mln dolarów po ataku, według danych DefiLlama.