随着客户追回 1200 万美元被盗资金，CertiK 审计受到审查

本文简要：

· 最近的 DeFi 黑客攻击表明，单靠代码审计并不能保证用户的安全。

· 尽管经过了严格的代码审计，但 CertiK 审计的两家公司最近还是遭到黑客攻击，损失 1400 万美元。

· Coinbase 首席执行官 Brian Armstrong 表示，政府应该允许 DeFi 进行自我监管。

生态稳定币项目 Defrost Finance 将归还截至 2022 年 12 月 23 日被盗的 1200 万美元资金，尽管已通过 CertiK 的代码审计。

Defrost 将使用 链上数据来确保被盗资金的正确分配，退款是在攻击者利用多个 Defrost 智能合约中的漏洞后进行的，区块链安全公司 Peckshield 最初于 2022 年 12 月 23 日报告了此次攻击。

Defrost 客户损失 1200 万美元

据报道，黑客通过针对 Defrost 的 V1 协议的闪贷攻击耗尽了 173,000 美元。在更重大的 V2 攻击中，犯罪者通过伪造的抵押代币和恶意价格预言机清算用户的头寸，从而盗取了 1200 万美元。据称，攻击者后来从跨链技术聚合商 Rubic Finance 窃取 了 140 万美元，引发了人们对智能合约代码漏洞的担忧。

当用户抵押品的价值低于借贷协议的最低贷款价值比时，DeFi中就会发生清算。像 Defrost 这样的稳定币协议允许用户为永久稳定币贷款存入抵押品，该协议使用经过算法调整的稳定费来设定贷款的利息，向 V2 引入虚假抵押品可能会损害 Defrost 用户的贷款价值比，从而导致他们的清算。

CertiK 审计揭示中心化问题

在评估DeFi项目的合法性时，这两种黑客都引起了人们对智能合约代码审计可以得出的结论的关注。区块链安全公司 CertiK 与这两次黑客攻击都有牵连，Defrost 和 Rubic 已经接受了该公司的代码审计。 

CertiK 于 2021 年 11 月对 Defrost V1 的智能合约进行了审计，列出了一个关键逻辑问题和五个与中心化相关的问题。前者在发稿时已得到解决，而后者在没有进一步工作证据的情况下得到承认。一个逻辑问题，通俗地称为“错误”，允许智能合约不正确地运行而不会崩溃。另一方面，如果黑客获得了对共享代码块或变量的访问权限，集中化问题可能会导致多个实体遭到破坏。

CertiK 还在 Rubic  Finance 的 SwapContract 智能合约中发现 了几个中心化问题，其中一个问题会使黑客能够将 ETH/BNB 和其他代币提取到黑客的地址。

审计不能取代常识

CertiK 不是为项目或其资产背书，而是测试智能合约对各种攻击向量的弹性。它还评估合同是否符合可接受的编码标准，并将项目的智能合同与行业领导者制定的合同进行比较。 

仔细查看 CertiK 的网站会发现，该公司只审核 DeFi 协议提供的代码，它建议有兴趣的投资者进行自己的尽职调查。此外，其报告包含以下免责声明：

“CertiK 的立场是，每个公司和个人都应对自己的尽职调查和持续安全负责。CertiK 的目标是帮助减少攻击向量和与使用不断变化的新技术相关的高水平差异，并且绝不声称对我们同意分析的技术的安全性或功能有任何保证。”

虽然不是完整的图片，但这些报告可以提供对项目风险的洞察力，有助于让感兴趣的各方了解项目，任何对智能合约代码的提议更改都可以在没有政府干预的情况下通过协议的标准投票程序。 

Coinbase 首席执行官 Brian Armstrong 主张 DeFi 协议在美国受到言论自由的保护，而不是受金融服务业务法律的监管。