原文作者:Joy

原文來源:PANews


因 Defrost Finance 被盜而損失 1200 萬美元的大戶 Hoi 昨晚鬆了一口,昨晚近 12 點,他在推特上寫到「天亮了」。一個多小時前,Defrost Finance 公告稱駭客已退還資金,將很快退還給用戶。

12 月 27 日,Defrost Finance 公布退款措施,將在未來幾天部署退款智能合約。具體措施包括:1、將地址中的所有 ETH 將以鏈上市場價格轉換為穩定幣;2、將穩定幣轉移至 Avalanche;3、掃描駭客攻擊前鏈上的數據;4、部署退款智能合約,將用戶資產以穩定幣形式退回至其原地址。

雖然最終是大歡喜的結局,但依舊被用戶扣上了「自導自演」的帽子。

Defrost Finance 接連被駭,大戶受損 1200 萬美元

時間拉回聖誕節當天,12 月 25 日,Avalanche 生態原生穩定幣項目 Defrost Finance 協議被爆出再次出現問題,協議被添加了假的抵押代幣,並使用惡意價格預言機清算當前用戶,損失估計超過 1200 萬美元。Defrost Finance 官方表示,已註意到 V1 出現的緊急情況,團隊目前正在調查,懇請社群等待更新,暫時不要使用 V1 或 V2。

而就在兩天前,12 月 23 日,Defrost FinanceV2 曾遭到駭客的閃電貸攻擊,駭客獲利 173,000 美元,但因為 V1 並沒有提供閃電貸服務,因此未受到影響。

隨後,名為 Hoi 的用戶發推特並在社群內求助,稱 Defrost Finance 中的大部分存款都由其提供,其個人損失了 1200 萬美元,審計公司 CertiK 尚未回應,並請求大家提供線索。

黑客

不久後,Hoi 再次發推稱已經掌握了一些項目方的實名線索,並認為項目方是監守自盜。因為在在 V1 被盜前一天,V2 的所有錢都被盜了;V1 的所有接口都有寫防重入,V2 的竟然沒有寫;他猜測團隊一直想做大 V2,這樣攻擊時可以推脫是第三方攻擊,因為 V2 被攻擊時可以由第三方通過閃電貸觸發。但是 V2 裡面的錢實在太少了,不夠團隊的胃口。所以第二天鋌而走險直接用開發者權限。強行更改了預言機價格、鑄幣給自己、弄了一個新的抵押池,這些操作不可能由第三方觸發。開發團隊熊市賺不到錢估計就把心一橫了,反正現在項目只有我一個傻大戶放錢在這,估計也沒啥人維權,就偷了。

據區塊鏈安全審計公司 Beosin 分析,攻擊者通過 setOracleAddress 函數修改了預言機的地址,隨後使用 joinAndMint 函數鑄造了 100,000,000 個 H20 代幣給 0x6f31 地址,最後調用 liquidate 函數通過虛假的價格預言機獲取了大量的 USDT。後續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的 0x4e22 上。這與 Hoi 分析的操作情況相吻合。

駭客返還資金,公鏈官方、審計公司難辭其咎

12 月 25 日下午 8 點,Defrost 發推稱,團隊願意與駭客談判,願意分享 20% 的被盜資金以換回大部分被盜資產,具體金額可以協商,並呼籲駭客盡快和團隊聯繫。

12 月 26 日下午,Defrost Finance 的審計公司 CertiK 發推稱,監測顯示,Defrost Finance 項目為退出騙局(exit scam),CertiK 曾試圖聯繫該團隊的多名成員,但沒有得到回應。此外,CertiK 還表示「該團隊未進行 KYC,但是我們正在利用我們掌握的所有資訊協助當局」。這似乎把 Defrost 監守自盜的行為,蓋棺定論。

黑客

或許是「駭客」的個人資料被掌握,因此選擇迅速歸還資金。Defrost Finance 在 26 日晚 10 點發推表示:「被駭客入侵的資金已退還給 DefrostFinance。受影響的用戶將很快能夠收回他們的資產。」

至此,這起駭客事件,僅用了 2 天就有了個愉快的大結局。但這對於安全公司和生態也敲醒了警鐘。

Hoi 在推特上回顧自己為何會選擇這個礦時列了幾點原因:1、合約我自己和員工都看過沒問題的,第三方駭客駭不到;2、 Certik 等審計;3、 這個項目上過很多 Avax 各種平台的推廣,甚至官方號推薦;4 、後來想出來時發現其他 Defi 礦的收益都一般,然後社群裡面都是好說話的兄弟。

審計公司竟然沒有對被審計項目的團隊有基本的了解,僅合約的安全並不能防止主觀的惡意,因此掌握團隊的 KYC 必不可少。因此也有用戶質疑 CertiK,既然團隊拒絕 KYC,你們就應該拒絕提供審計。此外,Avalanche 公鏈中文官方的確多次為該項目推廣,因此生態方需要謹慎推廣項目。

此外也有用戶稱,DefrostFinance 的項目方也是之前被盜的 Finnexus 和 PhoenixFinance 的同一個團隊。這一信息真實性還有待考證,但也對用戶提了個醒,盡量要選擇實名的項目,匿名創始人背後,很有可能另有企圖。

黑客


(以上內容獲合作夥伴 PANews 授權節錄及轉載,原文連結  

聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。


熱門市場動態與新聞傳送門:

區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。