去中心化交易平台 Defrost Finance 在聖誕節前幾日聲稱遭遇閃電貸攻擊,導致 1200 萬美元損失,卻被各大社群質疑是自導自演的軟地毯騙局(Rug Pull),對此 Defrost Finance 今日予以否認,並提出兩大論點,以證明該團隊不是幕後黑手。
(前情提要:報告:北韓駭客偽裝「加密貨幣VC」,釣魚誘導投資者安裝惡意軟體)
(背景補充:V神個資也被賣!「4億推特用戶數據」流入黑市,駭客以此勒索馬斯克)
去中心化交易平台 Defrost Finance 在 23 日宣布遭受閃電貸攻擊,導致其 v2 協議的用戶資金損失,在一天過後, Defrost Finance 宣布發生了另一起攻擊事件,駭客竊取了管理者私鑰,對 v1 協議進行了第二次、規模大得多的攻擊。
攻擊者據稱是通過添加假的抵押代幣,並使用惡意價格預言機,來清算協議用戶,從而實施閃電貸攻擊。但包括區塊鏈安全公司 PeckShield、CertiK 及資產管理平台 DeFiYield 都一致表示,根據「社群內部消息」,Defrost Finance 團隊成員可能是這場「退出騙局」的幕後黑手,因為執行此漏洞攻擊,需要一個管理員私鑰。
不過 Defrost Finance 在 28 日向 Cointelegraph 否認相關指控:
我們否認有關本協議團隊對使用者軟地毯攻擊的指控,一個私鑰外洩,並不等同於 Rug Pull ,儘管這件事可能會引起公眾的懷疑。
Defrost Finance 提出兩大論點,來否認其參與攻擊。第一,如果 Defrost Finance 想策劃一場 Rug Pull,在 Defrost Finance 總鎖倉價值(TVL) 數月前達到接近 2 億美元時,該協議就該這樣做,但在 12 月 23 日遭攻擊當日, Defrost Finance 的 TVL 已跌至 1314 萬美元:
當 TVL 是今日的 15 倍時,任何搞 Rug Pull 的人都早該詐騙投資者了。
第二,Defrost Finance 辯稱,如果該團隊是攻擊者,那麼早就跑路了,但如今該團隊卻依然在工作,努力將這些損失資金歸還給合法的所有者。Defrost Finance 在 26 日發布公告,稱參與攻擊 v1 協議的駭客,已歸還了所有資金,將開始向受影響用戶返還資金。
DeFiYield 控 Defrost Finance 進行 Rug Pull
不過 DeFiYield 27 日仍發表長文指控,Defrost Finance 進行了 Rug Pull ,指鏈上數據表明,多簽錢包的創建者,與請求並隨後批准使用惡意價格預言機來清算協議用戶的交易地址相同。
DeFiYield 提到,駭客不太可能在 Defrost Finance 提出賞金後不久就歸還資金,同時指控 Defrost Finance 背後開發商與 Phoenix Finance 的開發商是同一批人。Phoenix Finance 在 2021 年 5 月被漏洞攻擊,損失 760 萬美元,當時有人猜測這是「內部人士幹的」。
We've done an Exclusive On-Chain Investigation on the @Defrost_Finance's $12M "Exploit"
We found the connection between Defrost Finance and another project that has Rug Pulled $7M in 2021 – @Phoenix__PHX
They have the same developers.
EXPOSING @Defrost_Finance LIES 👇
1/18 🧵 pic.twitter.com/PfGyVNsoQ4
— De.Fi Antivirus Web3 🛡️ (@De_FiSecurity) December 27, 2022
對此, Defrost Finance 回應,很遺憾無法透露更多有關此次攻擊的細節,因為該團隊的首要任務,是幫助用戶取回資金,不過該團隊對這類指控相當不滿,將在 Telegram 群組上封殺那些試圖製造「虛假說法」的用戶。
📍相關報導📍
獲利1500萬美元成本僅數千元,DeFi套利者竟比駭客還賺?