因Defrost Finance被盜而損失1200萬美元的大戶Hoi昨晚鬆了一口,昨晚近12點,他在推特上寫到“天亮了”。一個多小時前,Defrost Finance公告稱黑客已退還資金,將很快退還給用戶。
雖然最終是大歡喜的結局,但依舊被用戶扣上了“自導自演”的帽子。
Defrost Finance接連被黑,大戶受損1200萬美元
時間拉回聖誕節當天,12月25日,Avalanche生態原生穩定幣項目Defrost Finance協議被爆出再次出現問題,協議被添加了假的抵押代幣,並使用惡意價格預言機清算當前用戶,損失估計超過1200萬美元。 Defrost Finance官方表示,已註意到V1 出現的緊急情況,團隊目前正在調查,懇請社區等待更新,暫時不要使用V1或V2。
而就在兩天前,12月23日,Defrost FinanceV2曾遭到黑客的閃電貸攻擊,黑客獲利173,000美元,但因為V1並沒有提供閃電貸服務,因此未受到影響。
隨後,名為Hoi的用戶發推特並在社區內求助,稱Defrost Finance中的大部分存款都由其提供,其個人損失了1200萬美元,審計公司CertiK尚未回應,並請求大家提供線索。
不久後,Hoi再次發推稱已經掌握了一些項目方的實名線索,並認為項目方是監守自盜。因為在在V1被盜前一天,V2的所有錢都被盜了;V1的所有接口都有寫防重入,V2的竟然沒有寫;他猜測團隊一直想做大V2,這樣攻擊時可以推脫是第三方攻擊,因為V2被攻擊時可以由第三方通過閃電貸觸發。但是V2裡面的錢實在太少了,不夠團隊的胃口。所以第二天鋌而走險直接用開發者權限。強行更改了預言機價格、鑄幣給自己、弄了一個新的抵押池,這些操作不可能由第三方觸發。開發團隊熊市賺不到錢估計就把心一橫了,反正現在項目只有我一個傻大戶放錢在這,估計也沒啥人維權,就偷了。
據區塊鏈安全審計公司Beosin分析,攻擊者通過setOracleAddress函數修改了預言機的地址,隨後使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最後調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。後續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上。這與Hoi分析的操作情況相吻合。
黑客返還資金,公鏈官方、審計公司難辭其咎
12月25日下午8點,Defrost發推稱,團隊願意與黑客談判,願意分享20%的被盜資金以換回大部分被盜資產,具體金額可以協商,並呼籲黑客盡快和我們聯繫。 ”
12月26日下午,Defrost Finance的審計公司CertiK發推稱,監測顯示,Defrost Finance項目為退出騙局(exit scam),CertiK曾試圖聯繫該團隊的多名成員,但沒有得到回應。此外,CertiK還表示“該團隊未進行KYC,但是我們正在利用我們掌握的所有信息協助當局”。這似乎把Defrost監守自盜的行為,蓋棺定論。
或許是“黑客”的個人信息被掌握,因此選擇迅速歸還資金。 Defrost Finance在26日晚10點發推表示:“被黑客入侵的資金已退還給DefrostFinance。受影響的用戶將很快能夠收回他們的資產。”
至此,這起黑客事件,僅用了2天就有了個愉快的大結局。但這對於安全公司和生態也敲醒了警鐘。
Hoi在推特上回顧自己為何會選擇這個礦時列了幾點原因,1 合約我自己和員工都看過沒問題的,第三方黑客黑不到。 2 Certik等審計。 3 這個項目上過很多Avax各種平台的推廣,甚至官方號推薦。 4 後來想出來時發現其他Defi礦的收益都一般,然後社區裡面都是好說話的兄弟。
審計公司竟然沒有對被審計項目的團隊有基本的了解,僅合約的安全並不能防止主觀的惡意,因此掌握團隊的KYC必不可少。因此也有用戶質疑CertiK,既然團隊拒絕KYC,你們就應該拒絕提供審計。此外,Avalanche公鏈中文官方的確多次為該項目推廣,因此生態方需要謹慎推廣項目。
此外也有用戶稱,DefrostFinance的項目方也是之前被盜的Finnexus和PhoenixFinance的同一個團隊。這一信息真實性還有待考證,但也對用戶提了個醒,盡量要選擇實名的項目,匿名創始人背後,很有可能另有企圖。
APP 
