La plataforma de negociación de apalancamiento descentralizada en Avalanche, Defrost Finance, informó que todos los fondos perdidos debido a un exploit en su plataforma el 23 de diciembre fueron devueltos el 26 de diciembre después de reclamos de un posible tirón de alfombras.
Los fondos pirateados han sido devueltos a #DefrostFinance.
Los usuarios afectados muy pronto podrán reclamar sus activos.
Detalles 👇https://t.co/RpDqKAK44y
— Defrost Finance 🔺 (@Defrost_Finance) 26 de diciembre de 2022
Defrost Finance afirmó que devolvería todos los fondos perdidos a los usuarios explotados después de escanear los datos en cadena para determinar la propiedad y la cantidad de fondos que posee cada usuario afectado.
Anteriormente, el protocolo basado en Avalanche informó que la plataforma había sido pirateada y que un atacante retiró fondos utilizando la función de préstamo flash.
El 24 de diciembre, la empresa afirmó que solo su producto V2 se vio afectado y que V1 permaneció seguro.
Defrost Finance se entristece en anunciar que nuestro V2 ha sufrido un ataque, con un atacante usando una función de préstamo flash para retirar fondos.
El V1 no se ve afectado. Pronto cerraremos la interfaz de usuario V2 e investigaremos más a fondo con nuestro equipo técnico.
Las actualizaciones se publicarán en nuestros canales oficiales.
— Defrost Finance 🔺 (@Defrost_Finance) 24 de diciembre de 2022
Sin embargo, el 25 de diciembre, el equipo informó que el hacker también obtuvo la clave de propietario para un ataque mayor al producto V1 de la plataforma.
El pirata informático ganó casi $ 173,000 con el exploit, según la firma de análisis de blockchain PeckShield.
Se explota @Defrost_Finance, lo que genera una ganancia de ~$173k para el hacker. El truco es posible debido a la falta de bloqueo de reingreso para las funciones flashloan()/deposit(), que el pirata informático utilizó para manipular el precio de las acciones de LSWUSDC. pic.twitter.com/SINHUZXC0D
– PeckShieldAlert (@PeckShieldAlert) 23 de diciembre de 2022
Tras un análisis más detallado, PeckShield reveló que se agregó un token colateral falso. Se utilizó un oráculo de precios malicioso para liquidar a los usuarios actuales por una pérdida total de más de $ 12 millones, lo que indica un posible tirón de alfombra.
Además, la firma de seguridad de blockchain Certik afirmó que el exploit era una estafa de salida después de que no pudieron obtener ninguna respuesta a sus consultas del equipo de Defrost Finance.
#AlertaCertiKSkynet 🚨
El 24 de diciembre vimos una #exitscam en @Defrost_Finance
Hemos intentado comunicarnos con varios miembros del equipo, pero no hemos obtenido respuesta.
El equipo no tiene KYC, pero estamos usando toda la información que tenemos para ayudar a las autoridades pic.twitter.com/XC009dM40T
– Alerta CertiK (@CertiKAlert) 26 de diciembre de 2022
En la misma nota, DeFiYieldApp, una empresa de seguridad de Web3, tuiteó que advirtieron a la comunidad DeFi hace un año sobre la vulnerabilidad del contrato inteligente Defrost Finance que permite a la empresa engañar a sus usuarios.
Aunque no hay indicios claros de si el hackeo fue una jugada, la empresa ha mostrado su voluntad de negociar con los piratas informáticos para devolver los fondos.
El 25 de diciembre, el valor total de los fondos bloqueados en el protocolo había caído a menos de $93,000 desde $13,16 millones después del ataque, según datos de DefiLlama.
