Defrost Finance взломали на $12 млн. В сообществе заподозрили мошенничество

23 декабря команда DeFi-протокола Defrost Finance заявила о взломе. В PeckShield предупредили о возможной реализации мошеннической схемы rug pull. Потери превысили $12 млн.

1/4 The Defrost team has been working around the clock to find out more details concerning the events of the past 48 hours.

A thread ⬇️

— Defrost Finance ? (@Defrost_Finance) December 25, 2022

Первоначально разработчики проекта сообщили об атаке на вторую версию протокола V2 с использованием «мгновенного займа».

По данным PeckShiel, хакер использовал отсутствие блокировки повторного входа. За счет манипулирования ценой в пуле ликвидности LSWUSDC его добычей стали около $173 000.

The @Defrost_Finance is exploited, leading to the gain of ~$173k for the hacker. The hack is made possible due to the lack of reentrancy lock for the flashloan()/deposit() functions, which was used by the hacker to manipulate the share price of LSWUSDC. pic.twitter.com/SINHUZXC0D

— PeckShieldAlert (@PeckShieldAlert) December 23, 2022

Согласно Defrost Finance, повторную атаку злоумышленник провел на протокол V1 с использованием полученного ключа владельца. Команда не озвучила сумму ущерба, в PeckShield ее оценили в более чем $12 млн.

We received community intel warning the rugpull of @Defrost_Finance. Our analysis shows a fake collateral token is added and a malicious price oracle is used to liquidate current users. The loss is estimated to be >$12M. https://t.co/70iu38OYh7 pic.twitter.com/rSKklgV71I

— PeckShield Inc. (@peckshield) December 24, 2022

Эксперты компании на основании сообщений пользователей заявили о возможной реализации схемы rug pull.

Команда проекта сама сообщила о взломе и предложила хакерам вернуть активы за вознаграждение в 20% стоимости. Однако ни один из ее представителей не ответил на запросы специалистов компании блокчейн-безопасности CertiK.

#CertiKSkynetAlert ?

On 24 December we have seen an #exitscam on @Defrost_Finance

We have attempted to contact multiple members of the team but have had no response.

The team are not KYC’d but we are using all the information that we do have to assist with authorities pic.twitter.com/XC009dM40T

— CertiK Alert (@CertiKAlert) December 26, 2022

Аналитики отметили, что команда проекта остается анонимной и не прошла процедуры KYC. По совокупности обстоятельств аналитики фирмы, как и некоторые представители сообщества, заподозрили экзит-скам.

They claim to be offering the “hacker” 20% of the stolen funds to return it… too busy negotiating with themselves to respond to comment requests

— t o o n c e s (@toonces4280) December 26, 2022

«Они предложили “хакеру” 20% украденных средств за возврат… но слишком заняты переговорами сами с собой, чтобы ответить на запросы», — прокомментировал один из пользователей.

Согласно данным DeFi Llama, в 2021 году именно CertiK провела аудит протокола. Специалисты компании DeFiYield напомнили, что год назад они проверили код Defrost Finance и указали на уязвимость, которую якобы использовали злоумышленники.

? THIS is THE MOST SNEAKY way to RUG PULL users crypto has EVER SEEN! ?

23h ago, @Defrost_Finance announced that its V2 has suffered a hack.

Was it really a Hack?

NO. They have RUG PULLED ‼️

? Here is how they LIED to everyone ? pic.twitter.com/Swu6kd7WPC

— DeFiYield ?️ Web 3 Security (@DefiyieldSec) December 25, 2022

«Это самый подлый способ кинуть криптопользователей, который мы когда-либо видели. Defrost Finance объявил, что V2-протокол подвергся взлому. Реально? Нет! Это rug pull», — заявили в DeFiYield.

Токен протокола MELT за последние 24 часа подешевел более чем на 20%. Монета торгуется на уровнях около $0,001. На максимуме в начале декабря 2021 года актив стоил $23.

Данные: CoinGecko.

Напомним, потери Web3-индустрии от эксплойтов с начала года приблизились к $3 млрд, подсчитали в PeckShield по состоянию на октябрь.

По данным Solidus Labs, с января на рынке появились почти 120 000 мошеннических токенов, связанных со схемами rug pull.

Источник