Defrost Finance взломали на $12 млн. Команда заявила о возврате средств
23 декабря команда DeFi-протокола Defrost Finance заявила о взломе. В PeckShield предупредили о возможной реализации мошеннической схемы rug pull. Потери превысили $12 млн.
1/4 The Defrost team has been working around the clock to find out more details concerning the events of the past 48 hours.
— Defrost Finance 🔺 (@Defrost_Finance) December 25, 2022
A thread ⬇️
Первоначально разработчики проекта сообщили об атаке на вторую версию протокола V2 с использованием «мгновенного займа».
26 декабря команда Defrost Finance заявила, что украденные средства возвращены и проект готовится к их распределению среди пользователей.
The hacked funds have been returned to #DefrostFinance.
— Defrost Finance 🔺 (@Defrost_Finance) December 26, 2022
The affected users will very soon be able to claim their assets back.
Details 👇https://t.co/RpDqKAK44y
По данным PeckShiel, хакер использовал отсутствие блокировки повторного входа. За счет манипулирования ценой в пуле ликвидности LSWUSDC его добычей стали около $173 000.
The @Defrost_Finance is exploited, leading to the gain of ~$173k for the hacker. The hack is made possible due to the lack of reentrancy lock for the flashloan()/deposit() functions, which was used by the hacker to manipulate the share price of LSWUSDC. pic.twitter.com/SINHUZXC0D
— PeckShieldAlert (@PeckShieldAlert) December 23, 2022
Согласно Defrost Finance, повторную атаку злоумышленник провел на протокол V1 с использованием полученного ключа владельца. Команда не озвучила сумму ущерба, в PeckShield ее оценили в более чем $12 млн.
We received community intel warning the rugpull of @Defrost_Finance. Our analysis shows a fake collateral token is added and a malicious price oracle is used to liquidate current users. The loss is estimated to be >$12M. https://t.co/70iu38OYh7 pic.twitter.com/rSKklgV71I
— PeckShield Inc. (@peckshield) December 24, 2022
Эксперты компании на основании сообщений пользователей заявили о возможной реализации схемы rug pull.
Команда проекта сама сообщила о взломе и предложила хакерам вернуть активы за вознаграждение в 20% стоимости. Однако ни один из ее представителей не ответил на запросы специалистов компании блокчейн-безопасности CertiK.
#CertiKSkynetAlert 🚨
— CertiK Alert (@CertiKAlert) December 26, 2022
On 24 December we have seen an #exitscam on @Defrost_Finance
We have attempted to contact multiple members of the team but have had no response.
The team are not KYC’d but we are using all the information that we do have to assist with authorities pic.twitter.com/XC009dM40T
Аналитики отметили, что команда проекта остается анонимной и не прошла процедуры KYC. По совокупности обстоятельств аналитики фирмы, как и некоторые представители сообщества, заподозрили экзит-скам.
They claim to be offering the “hacker” 20% of the stolen funds to return it… too busy negotiating with themselves to respond to comment requests
— t o o n c e s (@toonces4280) December 26, 2022
«Они предложили “хакеру” 20% украденных средств за возврат… но слишком заняты переговорами с самими собой, чтобы ответить на запросы», — прокомментировал один из пользователей.
Согласно данным DeFi Llama, в 2021 году именно CertiK провела аудит протокола. Специалисты компании DeFiYield напомнили, что год назад они проверили код Defrost Finance и указали на уязвимость, которую якобы использовали злоумышленники.
🚨 THIS is THE MOST SNEAKY way to RUG PULL users crypto has EVER SEEN! 🚨
— DeFiYield 🛡️ Web 3 Security (@DefiyieldSec) December 25, 2022
23h ago, @Defrost_Finance announced that its V2 has suffered a hack.
Was it really a Hack?
NO. They have RUG PULLED ‼️
🚨 Here is how they LIED to everyone 👇 pic.twitter.com/Swu6kd7WPC
«Это самый подлый способ кинуть криптопользователей, который мы когда-либо видели. Defrost Finance объявил, что V2-протокол подвергся взлому. Реально? Нет! Это rug pull», — заявили в DeFiYield.
Токен протокола MELT за последние 24 часа подешевел более чем на 20%. Монета торгуется на уровнях около $0,001. На максимуме в начале декабря 2021 года актив стоил $23.
Напомним, потери Web3-индустрии от эксплойтов с начала года приблизились к $3 млрд, подсчитали в PeckShield по состоянию на октябрь.
По данным Solidus Labs, с января на рынке появились почти 120 000 мошеннических токенов, связанных со схемами rug pull.
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
