Defrost Finance Fake-Collateral / Rug
Eine Owner-Key-Kompromittierung fügte einen Fake-Collateral-Token zu Defrost Finance auf Avalanche hinzu und liquidierte alle Positionen für rund 12 Mio. $.
- Datum
- Opfer
- Defrost Finance
- Chain(s)
- Status
- Zurückerlangt
Am 23. Dezember 2022 verlor Defrost Finance auf Avalanche rund 12 Millionen $, als eine Owner-privilegierte Aktion einen bösartigen Collateral-Token mit manipuliertem Preis hinzufügte und damit die Massenliquidierung aller Nutzerpositionen zugunsten des Angreifers auslöste. Die Kompromittierung war ein Owner-Key-Problem (Diebstahl oder Insider). Nach Verhandlungen wurden die meisten Gelder zurückgegeben.
Was geschah
Die Owner-Rolle von Defrost konnte Collateral-Typen und Orakel hinzufügen. Ein bösartiger Collateral-Token mit einem vom Angreifer gesetzten Preis wurde hinzugefügt; das Protokoll liquidierte daraufhin jede Position dagegen und übertrug Nutzer-Collateral an den Angreifer (rund 12 Mio. $). Nach öffentlichem Druck und Verhandlungen wurde der Großteil zurückgegeben.
Warum es wichtig ist
Defrost vereint zwei Katalog-Klassiker: Owner-privilegierte Collateral-/Orakel-Kontrolle (Fortress) und die Key-Compromise-vs-Insider-Ambiguität (Grand Base). Die strukturelle Regel: Die Macht, einen Collateral-Typ und seinen Preis hinzuzufügen, ist die Macht, das gesamte Protokoll zu liquidieren — diese Autorität muss timelocked und Multi-Sig-gesichert sein, niemals eine einzelne Owner-Aktion. Die nahezu vollständige Wiederherstellung macht es zu einem der besseren Ausgänge im Katalog, aber das Design — einen privilegierten Aufruf vom Totalverlust entfernt — ist die dauerhafte Lektion.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-defrost-finance-hack-december-2022
- [02]coindesk.comhttps://www.coindesk.com/business/2022/12/26/defrost-finance-says-hacked-funds-have-been-returned
- [03]crypto.newshttps://crypto.news/defrost-finance-stolen-funds-have-been-reimbursed/