Secondo le statistiche di Defi Llama, la quantità totale di denaro bloccata sul protocollo vittima dell’attacco è scesa a meno di 93.000 dollari il 25 dicembre, dagli oltre 13 milioni precedenti.
Protocollo per la finanza decentralizzata Sebbene la società di sicurezza blockchain Peckshield, citando “intelligence della comunità”, abbia affermato che l’exploit potrebbe essere stato un rug pull che ha portato via $ 12 milioni, e Certik, un’altra società di sicurezza, ha affermato di non essere stata in grado di contattare i membri del team , Defrost Finance ha affermato di essere stato violato il 23 dicembre.
Il team di Defrost ha affermato in un tweet pubblicato il 25 dicembre che un primo attacco ha utilizzato un prestito lampo per sottrarre denaro dal suo prodotto V2. La chiave del proprietario è stata utilizzata per sfruttare V1 in un secondo attacco più significativo. Il protocollo commerciale con leva sulla blockchain di Avalanche non specificava quanti soldi erano stati prelevati.
La dinamica dell’attacco hacker
Secondo lo studio di Peckshield, l’aggressione si è avvalsa di un token collaterale fasullo e di un prezzo manipolato.
Quando gli sviluppatori costruiscono e istituiscono un pool di liquidità e poi prelevano i soldi e svaniscono dopo che gli investitori hanno acquistato il token associato, questo è noto come pull pull o truffa di uscita. Secondo i dati di Defi Llama, la quantità totale di denaro detenuta su Defrost Finance, che ha raggiunto il picco di $ 95 milioni a febbraio, è stata recentemente di circa $ 13 milioni. Il 25 dicembre, è sceso a meno di $ 93.000.
Se l’attacco è stato realmente un rug pull, sarebbe unico nel suo genere. Di solito, il gruppo responsabile dello schema scompare e non può essere raggiunto. Defrost Finance, d’altra parte, ha twittato sull’incidente e ha dichiarato che sarebbe disponibile a negoziare la restituzione del denaro con gli autori.
I tentativi di risolvere la questione
Tuttavia, un tentativo di Twitter di contattare l’azienda non è andato a buon fine a causa della disattivazione dei messaggi diretti dell’account. La società di sicurezza blockchain Certik ha twittato il 26 dicembre di aver “contattato vari membri del team ma non ha ricevuto risposta”. Secondo un grafico incluso, DeFrost era una truffa di uscita.
DeFiYield, una piattaforma di gestione patrimoniale digitale cross-chain che fornisce un livello di sicurezza per gli smart contract per proteggere gli investitori dall’essere truffati o hackerati, ha affermato di aver verificato Defrost Finance un anno fa e ha identificato il difetto del contratto intelligente che è stato sfruttato nella violazione.
Secondo una ricerca di Chainalysis, l’anno scorso gli investitori in criptovalute hanno perso oltre 2,8 miliardi di dollari a causa dei tiratori di tappeti. Il 37% degli oltre 7,7 miliardi di dollari di profitti criminali generati dagli schemi di criptovaluta quell’anno provenivano da rug pull. Il numero nel 2022 è probabilmente più alto: secondo una ricerca della società di monitoraggio del rischio blockchain Solidus Labs, i truffatori hanno utilizzato oltre 117.000 scam token dal 1° dicembre al 41% in più rispetto a tutto il 2021.