" «С Рождеством, ребята. Мы получили кусок угля от Санта-Клауса», — написал один из пользователей в ответ на обвинения и инцидент.
26 декабря компания по обеспечению безопасности блокчейна CertiK выпустила предупреждение, в котором утверждалось, что Defrost Finance (MELT), децентрализованная платформа для торговли с кредитным плечом на блокчейне Avalanche (AVAX), которая недавно подверглась эксплойту, является «мошенничеством с выходом».
Предупреждение CertiK Skynet по поводу Defrost. Источник: CertiK.
Этот шаг был сделан как раз в тот момент, когда Defrost объявил, что «хакер, участвовавший во взломе V1 [но не во взломе v2], вернул средства». CertiK заявила следующее:
«24 декабря мы видели «мошенничество с выходом» на Defrost Finance. Мы пытались связаться с несколькими членами команды, но не получили ответа. Команда не прошла KYC, но мы используем всю имеющуюся у нас информацию, чтобы помочь властям».
23 декабря компания Defrost Finance подверглась атаке с использованием мгновенного кредита, которая лишила пользователей протокола активов на 12 миллионов долларов. При этом были затронуты обе версии протокола v1 и v2. Сразу же после эксплойта аналитическая компания PeckShield также выпустила предупреждение, утверждая, что операция была «выдергиванием коврика»:
«Мы получили информацию от сообщества, предупреждающую о мошенничестве Defrost Finance. Наш анализ показывает, что добавлен фальшивый залоговый токен, а для ликвидации текущих пользователей используется вредоносный ценовой оракул. Убыток оценивается в более чем 12 миллионов долларов».
В кратком постфактум-анализе разработчики проекта заявили, что хакерам также удалось украсть ключ владельца для гораздо более крупной атаки на его протокол v1, чем эксплойт для флэш-кредита. Defrost предложил договориться о «разделении 20% (оборотных) средств в обмен на большую часть активов и призывает хакеров связаться с нами как можно скорее».
После публикации адреса кошелька Ethereum на своей социальной странице на момент публикации туда были переведены цифровые активы на сумму около 3 миллионов долларов. В сообщении на Medium, опубликованном через несколько часов, Defrost объяснил, что хакер v1 вернул украденные средства на адрес, контролируемый разработчиками проекта.
«Вскоре мы начнем сканировать данные в сети, чтобы выяснить, кому что принадлежало до взлома, чтобы вернуть средства законным владельцам. Поскольку у разных пользователей были разные пропорции активов и долга, этот процесс может занять некоторое время. Тем не менее, он будет заключен довольно быстро».
Это развивающаяся история, и вскоре могут появиться новые подробности.
