随着客户追回 1200 万美元被盗资金，CertiK 审计受到审查

据悉，生态稳定币项目DefrostFinance将归还截至2022年12月23日被盗的1200万美元资金，尽管已通过CertiK的代码审计。

Defrost将使用链上数据来确保被盗资金的正确分配。退款是在攻击者利用多个Defrost智能合约中的漏洞后进行的。区块链安全公司Peckshield最初于2022年12月23日报告了此次攻击。

除霜客户损失1200万美元

据报道，黑客通过针对Defrost的V1协议的闪贷攻击耗尽了173,000美元。在更重大的V2攻击中，犯罪者通过伪造的抵押代币和恶意价格预言机清算用户的头寸，从而盗取了1200万美元。据称，攻击者后来从跨链技术聚合商RubicFinance窃取了140万美元，引发了人们对智能合约代码漏洞的担忧。

当用户抵押品的价值低于借贷协议的最低贷款价值比时，DeFi中就会发生清算。像Def​​rost这样的稳定​​币协议允许用户为永久稳定币贷款存入抵押品。该协议使用经过算法调整的稳定费来设定贷款的利息。向V2引入虚假抵押品可能会损害Defrost用户的贷款价值比，从而导致他们的清算。

CertiK审计揭示集中化问题

在评估DeFi项目的合法性时，这两种黑客都引起了人们对智能合约代码审计可以得出的结论的关注。区块链安全公司CertiK与这两次黑客攻击都有牵连，Defrost和Rubic已经接受了该公司的代码审计。

CertiK于2021年11月对DefrostV1的智能合约进行了审计，列出了一个关键逻辑问题和五个与中心化相关的问题。前者在发稿时已得到解决，而后者在没有进一步工作证据的情况下得到承认。一个逻辑问题，通俗地称为“错误”，允许智能合约不正确地运行而不会崩溃。另一方面，如果黑客获得了对共享代码块或变量的访问权限，集中化问题可能会导致多个实体遭到破坏。

CertiK还在RubicFinance的SwapContract智能合约中发现了几个中心化问题，其中一个问题会使黑客能够将ETH/BNB和其他代币提取到黑客的地址。

审计不能取代常识

CertiK不是为项目或其资产背书，而是测试智能合约对各种攻击向量的弹性。它还评估合同是否符合可接受的编码标准，并将项目的智能合同与行业领导者制定的合同进行比较。

仔细查看CertiK的网站会发现，该公司只审核DeFi协议提供的代码。它建议有兴趣的投资者进行自己的尽职调查。此外，其报告包含以下免责声明：“CertiK的立场是，每个公司和个人都应对自己的尽职调查和持续安全负责。CertiK的目标是帮助减少攻击向量和与使用不断变化的新技术相关的高水平差异，并且绝不声称对我们同意分析的技术的安全性或功能有任何保证。”

虽然不是完整的图片，但这些报告可以提供对项目风险的洞察力，有助于让感兴趣的各方了解项目。任何对智能合约代码的提议更改都可以在没有政府干预的情况下通过协议的标准投票程序。

Coinbase首席执行官BrianArmstrong主张DeFi协议在美国受到言论自由的保护，而不是受金融服务业务法律的监管。