因 Defrost Finance 被盜而損失 1200 萬美元的大戶 Hoi 昨晚鬆了一口,昨晚近 12 點,他在推特上寫到“天亮了”。一個多小時前,Defrost Finance 公告稱黑客已退還資金,將很快退還給用戶。
雖然最終是大歡喜的結局,但依舊被用戶扣上了“自導自演”的帽子。
Defrost Finance 接連被黑,大戶受損 1200 萬美元
時間拉回聖誕節當天, 12 月 25 日,Avalanche 生態原生穩定幣項目 Defrost Finance 協議被爆出再次出現問題,協議被添加了假的抵押代幣,並使用惡意價格預言機清算當前用戶,損失估計超過 1200 萬美元。 Defrost Finance 官方表示,已註意到 V 1 出現的緊急情況,團隊目前正在調查,懇請社區等待更新,暫時不要使用 V 1 或V2。
而就在兩天前, 12 月 23 日,Defrost FinanceV2曾遭到黑客的閃電貸攻擊,黑客獲利 173, 000 美元,但因為 V 1 並沒有提供閃電貸服務,因此未受到影響。
隨後,名為 Hoi 的用戶發推特並在社區內求助,稱 Defrost Finance 中的大部分存款都由其提供,其個人損失了 1200 萬美元,審計公司 CertiK 尚未回應,並請求大家提供線索。
不久後,Hoi 再次發推稱已經掌握了一些項目方的實名線索,並認為項目方是監守自盜。因為在在 V 1 被盜前一天,V2的所有錢都被盜了;V 1 的所有接口都有寫防重入,V2的竟然沒有寫;他猜測團隊一直想做大V2,這樣攻擊時可以推脫是第三方攻擊,因為V2被攻擊時可以由第三方通過閃電貸觸發。但是V2裡面的錢實在太少了,不夠團隊的胃口。所以第二天鋌而走險直接用開發者權限。強行更改了預言機價格、鑄幣給自己、弄了一個新的抵押池,這些操作不可能由第三方觸發。開發團隊熊市賺不到錢估計就把心一橫了,反正現在項目只有我一個傻大戶放錢在這,估計也沒啥人維權,就偷了。
據區塊鏈安全審計公司 Beosin 分析,攻擊者通過 setOracleAddress 函數修改了預言機的地址,隨後使用 joinAndMint 函數鑄造了 100, 000, 000 個 H 20 代幣給 0 x 6 f 31 地址,最後調用 liquidate 函數通過虛假的價格預言機獲取了大量的 USDT。後續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的 0 x 4 e 22 上。這與 Hoi 分析的操作情況相吻合。
黑客返還資金,公鏈官方、審計公司難辭其咎
12 月 25 日下午 8 點,Defrost 發推稱,團隊願意與黑客談判,願意分享 20% 的被盜資金以換回大部分被盜資產,具體金額可以協商,並呼籲黑客盡快和我們聯繫。 ”
12 月 26 日下午,Defrost Finance 的審計公司 CertiK 發推稱,監測顯示,Defrost Finance 項目為退出騙局(exit scam),CertiK 曾試圖聯繫該團隊的多名成員,但沒有得到回應。此外,CertiK 還表示“該團隊未進行 KYC,但是我們正在利用我們掌握的所有信息協助當局”。這似乎把 Defrost 監守自盜的行為,蓋棺定論。
或許是“黑客”的個人信息被掌握,因此選擇迅速歸還資金。 Defrost Finance 在 26 日晚 10 點發推表示:“被黑客入侵的資金已退還給 DefrostFinance。受影響的用戶將很快能夠收回他們的資產。”
至此,這起黑客事件,僅用了 2 天就有了個愉快的大結局。但這對於安全公司和生態也敲醒了警鐘。
Hoi 在推特上回顧自己為何會選擇這個礦時列了幾點原因, 1 合約我自己和員工都看過沒問題的,第三方黑客黑不到。 2 Certik 等審計。 3 這個項目上過很多 Avax 各種平台的推廣,甚至官方號推薦。 4 後來想出來時發現其他 Defi 礦的收益都一般,然後社區裡面都是好說話的兄弟。
審計公司竟然沒有對被審計項目的團隊有基本的了解,僅合約的安全並不能防止主觀的惡意,因此掌握團隊的 KYC 必不可少。因此也有用戶質疑 CertiK,既然團隊拒絕 KYC,你們就應該拒絕提供審計。此外,Avalanche 公鏈中文官方的確多次為該項目推廣,因此生態方需要謹慎推廣項目。
此外也有用戶稱,DefrostFinance 的項目方也是之前被盜的 Finnexus 和 PhoenixFinance 的同一個團隊。這一信息真實性還有待考證,但也對用戶提了個醒,盡量要選擇實名的項目,匿名創始人背後,很有可能另有企圖。